APT-группировка Librarian Ghouls (она же Rare Werewolf и Rezet) атакует организации в РФ и странах СНГ с часа ночи до пяти утра по местному времени. В это время хакеры стараются украсть учетные данные и заразить устройство жертвы майнером.
Специалисты «Лаборатории Касперского» обнаружили новую волну целевых атак Librarian Ghouls. По их словам, кампания началась еще в декабре 2024 года и активна до сих пор. За это время со злоумышленниками столкнулись сотни корпоративных пользователей из России, в том числе сотрудники производственных предприятий и технических вузов. Также среди целей группы были компании из Беларуси и Казахстана.
Исследователи пишут, что злоумышленники были активны практически в течение всего 2024 года. И хотя в декабре наблюдался небольшой спад, недавно началась очередная волна атак, которая продолжается до сих пор.
Для своих целей группа предпочитает использовать легитимное ПО сторонних разработчиков, а также активно обновляет арсенал: с начала обнаруженной кампании появилось более 100 копий вредоносных имплантов.
С часа ночи до пяти утра по местному времени хакеры стремятся получить удаленный доступ к устройствам жертв, украсть учетные данные и установить в систему майнер. Также в арсенале Librarian Ghouls, предположительно, появились фишинговые сайты, имитирующие известный российский почтовый сервис.
Обычно атаки группировки начинаются с отправки целевых фишинговых писем, которые содержат защищенные паролем архивы с вредоносными файлами. Такие рассылки обычно замаскированы под сообщения от реальных организаций с якобы официальными документами во вложении.
Заражение начинается, если жертва открывает прикрепленный архив (пароль обычно указывается в теле письма), распаковывает и запускает его содержимое. В некоторых случаях внутри находится PDF-приманка в виде платежного поручения на незначительную сумму, исполняемый файл легитимной утилиты curl и ярлык bat.lnk. Эти компоненты перемещаются на устройство жертвы в папку C:\Intel\. Для удаленного управления зараженным компьютером злоумышленники устанавливают на него ПО AnyDesk.
Также были обнаружены домены фишинговых сайтов, которые, предположительно, тоже можно отнести к текущей кампании Librarian Ghouls. Такие веб-страницы нацелены на кражу учетных данных от почтового сервиса Mail.ru. Часть этих ресурсов была активна на момент проведения исследования (например, users-mail[.]ru и deauthorization[.]online).
В некоторых случаях при нажатии на упомянутый выше ярлык, запускается серия вредоносных действий, призванная ослабить защитные меры и скрыть признаки активности хакеров. Например, в отдельных эпизодах атакующие задавали пароль QWERTY1234566 для AnyDesk, что позволяет им установить соединение с устройством без необходимости запрашивать подтверждение, а также отключали Windows Defender. Кроме того, чтобы усыпить бдительность жертвы и скрыть следы вредоносной активности, злоумышленники с помощью планировщика задач выключают скомпрометированный ПК ежедневно в пять утра по местному времени.
Обычно малварь активируется ежедневно в час ночи по местному времени. При этом исследователи не обнаружили признаков подмены или компрометации msedge.exe, поэтому предполагается, что группировка использует легитимный исполняемый файл Microsoft Edge. Ежедневный запуск браузера «будит» машину жертвы, предоставляя атакующим четыре часа для получения несанкционированного удаленного доступа к зараженному устройству при помощи AnyDesk, пока в 05:00 задача планировщика не выключит компьютер.
За это время малварь собирает и отправляет информацию своим операторам. В числе интересующих их сведений — учетные данные пользователей и seed-фразы криптовалютных кошельков. После передачи украденной информации вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в зараженную систему майнер XMRig, а затем удаляет себя с устройства.
«В обнаруженной кампании вся вредоносная функциональность реализована с помощью командных файлов и PowerShell-скриптов. При этом Librarian Ghouls, как и ранее, не создают собственные инструменты, а используют сторонние легитимные утилиты для своих целей. Злоумышленники постоянно работают над улучшением методов: они не только крадут ценные данные, но и устанавливают ПО для удаленного управления на зараженные устройства, а также, вероятно, используют фишинговые сайты для кражи почтовых учетных записей жертв. Мы следим за этой угрозой и продолжим делиться актуальной информацией об активности группы», — комментирует Алексей Шульмин, эксперт по кибербезопасности в «Лаборатории Касперского».
