Группа APT Librarian Ghouls: новые угрозы для России и стран СНГ в 2025 году
Группа Librarian Ghouls, также известная как Rare Werewolf или Rezet, активно действует против организаций России и стран СНГ. В отчете говорится, что атаки продолжаются до мая 2025 года и характеризуются использованием легального стороннего программного обеспечения вместо традиционных пользовательских вредоносных программ. Такая стратегия позволяет злоумышленникам оставаться незаметными и эффективно внедрять свои инструменты в защищенные инфраструктуры.
Тактика и методы атаки
Основной вектор заражения для группы Librarian Ghouls — фишинговые рассылки. В них злоумышленники прикрепляют защищённые паролем архивы, маскируя вредоносные исполняемые файлы под официальные документы. После запуска таких файлов происходит цепочка действий, направленных на установление управления системой жертвы:
- Запуск командных файлов и PowerShell-скриптов, которые обеспечивают удалённый доступ и кражу учётных данных;
- Установка криптомайнера XMRig для использования ресурсов заражённой машины;
- Использование самораспаковывающегося установщика, созданного с помощью Smart Install Maker;
- Загрузка множества вредоносных утилит с серверов командования и контроля (C2).
Используемые инструменты и утилиты
Группа широко применяет легальные программы, адаптируя их для своих нужд:
- Модифицированный WinRAR — для выполнения команд без уведомления пользователя;
- Blat — отправка украденных данных по электронной почте;
- AnyDesk — обеспечение удалённого доступа с установкой пароля, что позволяет злоумышленникам контролировать систему без ограничений;
- Defender Control — отключение встроенного антивируса Windows Defender;
- Скрипты, создающие запланированные задачи для ежедневного запуска Microsoft Edge, чтобы злоумышленники могли использовать систему в своих целях;
- Средства предотвращения потери данных (DLP) — мониторинг и кейлоггинг;
- Утилиты для восстановления паролей браузера;
- ngrok — туннелирование соединений для удалённого доступа к целевым компьютерам.
Особенности инфраструктуры и активность
Инфраструктура Librarian Ghouls включает в себя домены, связанные с их кампаниями, например, downdown.ru и dragonfires.ru. Эти ресурсы активно используются для управления заражёнными системами и поддержания постоянной связи с вредоносным ПО.
Примечательно, что группа регулярно обновляет свои конфигурации и инструментарий с конца 2024 года, демонстрируя высокую адаптивность и гибкость. Их фишинговые кампании разработаны на русском языке и ориентированы как на частных пользователей, так и на корпоративные организации, что облегчает кражу учётных данных и дальнейшую эксфильтрацию информации.
Цели и последствия деятельности группы
Основная цель Librarian Ghouls — шпионаж и финансовая выгода с фокусом на промышленные предприятия и образовательные учреждения в России, Беларуси и Казахстане. Постоянное совершенствование тактики и инструментов говорит о намерениях группы долго и целенаправленно препятствовать нормальной работе своих жертв.
Безопасность организаций в указанном регионе находится под серьёзной угрозой, и важно поддерживать высокий уровень мониторинга и анализа активности этой APT-группы, чтобы своевременно выявлять и нейтрализовать угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ активности APT-группы Librarian Ghouls в России и СНГ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.