Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Хакеры атакуют российские компании ночью

2 мин
Изображение: recraft Исследователи из «Лаборатории Касперского» поделились сведениями об организованной хакерской кампании, развёрнутой на территории России с конца 2024 года. Под перекрёстным наблюдением аналитиков оказалась группировка Librarian Ghouls, активно действующая с часу ночи до пяти утра по местному времени. По словам специалистов, злоумышленники сосредоточились на взломе корпоративных пользователей, работающих в сфере промышленности и технического образования. Ранее Librarian Ghouls уже проявляли интерес к отдельным объектам в странах СНГ и РФ. В новой волне атак группа продолжает использовать софт, легально применяемый в ИТ-среде, что затрудняет мгновенное обнаружение заражений. Эксперты подчёркивают, что конечная цель преступников — получение постоянного контроля над чужими устройствами и кража учётных данных. Также в числе приоритетов хакеров — добыча цифровой валюты. На скомпрометированных компьютерах они разворачивают скрытые майнеры, а также, по предварительной оценк

Изображение: recraft

Исследователи из «Лаборатории Касперского» поделились сведениями об организованной хакерской кампании, развёрнутой на территории России с конца 2024 года. Под перекрёстным наблюдением аналитиков оказалась группировка Librarian Ghouls, активно действующая с часу ночи до пяти утра по местному времени.

По словам специалистов, злоумышленники сосредоточились на взломе корпоративных пользователей, работающих в сфере промышленности и технического образования. Ранее Librarian Ghouls уже проявляли интерес к отдельным объектам в странах СНГ и РФ. В новой волне атак группа продолжает использовать софт, легально применяемый в ИТ-среде, что затрудняет мгновенное обнаружение заражений.

Эксперты подчёркивают, что конечная цель преступников — получение постоянного контроля над чужими устройствами и кража учётных данных. Также в числе приоритетов хакеров — добыча цифровой валюты. На скомпрометированных компьютерах они разворачивают скрытые майнеры, а также, по предварительной оценке аналитиков, начинают использовать поддельные сайты, внешне неотличимые от настоящих ресурсов одного из популярных российских почтовых сервисов.

Начало атаки отмечено фишинговыми письмами с вложениями в виде архивов, защищённых паролем. При открытии вредоносный файл распаковывается и оседает в одной из системных папок, позволяя хакерам наладить удалённый доступ к устройству. Используемый сценарий действий обеспечивает невидимость вредоносного кода в течение всей сессии.

Как уточнили в «Лаборатории Касперского», вредоносный скрипт активизируется ровно в 01:00 и завершает работу в 05:00. За это время киберпреступники успевают извлечь конфиденциальную информацию, в том числе логины, пароли и криптовалютные фразы, после чего система выключается автоматически с использованием встроенного планировщика.

Мария Наместникова, представляющая исследовательское подразделение «Лаборатории Касперского», пояснила, что в завершении сессии вирусное ПО автоматически удаляет как следы взлома, так и себя, не оставляя улики в файловой системе. После очистки злоумышленники внедряют майнер для продолжения использования заражённого устройства без ведома владельца.

Оригинал публикации на сайте CISOCLUB: ""Лаборатория Касперского" обнаружила хакеров, атакующих по ночам".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются