Идет волна сложных целевых атак кибергруппы Librarian Ghouls

Эксперты «Лаборатории Касперского» обнаружили новую волну сложных целевых атак группы Librarian Ghouls. Кампания началась в декабре 2024 года и активна до сих пор. За это время с действиями злоумышленников столкнулись сотни корпоративных пользователей из России, в том числе сотрудники производственных предприятий и технических вузов. Среди целей группы также были компании из Беларуси и Казахстана.

Как правило, активность злоумышленников продолжается с часа ночи до пяти часов утра по местному времени. В ходе атаки они пытаются получить удаленный доступ к устройствам жертв, украсть учетные данные и установить в систему майнер, позволяющий использовать мощности зараженных ПК для нелегитимной добычи криптовалюты. Также в арсенале Librarian Ghouls, предположительно, появились фишинговые сайты, мимикрирующие под известный российский почтовый сервис.

Что известно о группе. Librarian Ghouls — это кибергруппа, которая проводит сложные целевые атаки на организации в России и странах СНГ. Она также известна как Rare Werewolf и Rezet. Злоумышленники были активны практически в течение всего 2024 года. И хотя в декабре наблюдался небольшой спад, в этом же месяце началась очередная волна атак, которая продолжается до сих пор. Для своих целей группа предпочитает использовать легитимное ПО сторонних разработчиков, а также активно обновляет арсенал: по данным «Лаборатории Касперского», с начала обнаруженной кампании появилось более 100 копий имплантов.

Фишинговая кампания. Атака начинается с отправки целевых фишинговых писем, которые содержат защищенные паролем архивы с вредоносными файлами. Такие рассылки обычно замаскированы под сообщения от реальных организаций с якобы официальными документами во вложении. Заражение происходит следующим образом: жертва открывает прикрепленный архив (пароль обычно указывается в теле письма), распаковывает и запускает его содержимое. В некоторых случаях внутри находится PDF-приманка в виде платежного поручения на незначительную сумму, исполняемый файл легитимной утилиты curl и ярлык bat.lnk. Эти компоненты перемещаются на устройство жертвы в папку C:/Intel/. Для удаленного управления зараженным компьютером злоумышленники устанавливают на него ПО AnyDesk.

В ходе исследования эксперты также обнаружили домены фишинговых сайтов, которые, предположительно, можно отнести к текущей кампании Librarian Ghouls. Эти веб-страницы нацелены на кражу учетных данных от известного российского почтового сервиса. Часть из них оставалась активной на момент исследования.

Понижение уровня защиты устройства. В некоторых случаях при нажатии на ярлык, который был в архиве, запускается серия вредоносных действий, чтобы ослабить меры безопасности компьютера и спрятать признаки активности группы. Например, в отдельных эпизодах атакующие задают пароль QWERTY1234566 для ПО AnyDesk — это позволяет им установить соединение с устройством без необходимости запрашивать подтверждение, а также отключает Защитник Windows. Чтобы усыпить бдительность жертвы и скрыть следы вредоносной активности, злоумышленники с помощью планировщика задач выключают скомпрометированный ПК ежедневно в пять утра по местному времени.

Скрипт «Подъем!»: кража данных и установка майнера. Программы активируются ежедневно в час ночи по местному времени. Таким образом у злоумышленников есть 4 часа для несанкционированного удаленного доступа к зараженному компьютеру через ПО AnyDesk. За это время зловред собирает и отправляет информацию злоумышленникам. В числе интересующих их сведений — учетные данные пользователей и ключевые фразы криптовалютных кошельков. После передачи украденной информации группе вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в зараженную систему майнер — а в конце удаляет себя с устройства.

«В обнаруженной кампании вся вредоносная функциональность реализована с помощью командных файлов и PowerShell-скриптов. При этом Librarian Ghouls, как и ранее, не создают собственные инструменты, а используют сторонние легитимные утилиты для своих целей. Злоумышленники постоянно работают над улучшением методов: они не только крадут ценные данные, но и устанавливают ПО для удаленного управления на зараженные устройства, а также, вероятно, используют фишинговые сайты для кражи почтовых учетных записей жертв. Мы следим за этой угрозой и продолжим делиться актуальной информацией об активности группы», — комментирует Алексей Шульмин, эксперт по кибербезопасности в «Лаборатории Касперского».

Для защиты корпоративной инфраструктуры эксперты «Лаборатории Касперского» рекомендуют:

• регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
• использовать надежное защитное решение, эффективность которого подтверждается независимыми тестами;
• применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности;
• обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги;
• предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников.