Группировка Leek Likho активизировала атаки на госсектор: новые методы эксфильтрации и использование ИИ для генерации скриптов

Основной вектор атаки остался прежним - социальная инженерия через мессенджер Telegram. Жертве приходит сообщение со ссылкой, которая имитирует легитимный файлообменный сервис. Переход по такой ссылке ведёт к загрузке архива. Если пользователь открывает его встроенным архиватором Windows, он видит только один файл, внешне неотличимый от PDF-документа. Однако при использовании стороннего архиватора, например 7-Zip, становится заметна истинная природа вложения: это ярлык с двойным расширением .pdf.lnk, который маскируется под документ при помощи иконки из папки Microsoft Edge. Внутри архива также скрыта папка с имена, сформированными под стандартные системные каталоги.

Двойной клик по ярлыку запускает цепочку PowerShell-команд, которые исследователи окрестили LeekSower. Этот загрузчик сначала находит исходный архив в профиле пользователя, распаковывает его в папку AppData, а затем извлекает второй, замаскированный ZIP-архив, содержащий набор легитимных утилит, переименованных под видом безобидных программ: Tor (The Onion Router - система анонимной маршрутизации), SSH-клиент и сервер OpenSSH, а также PDF-приманку, которую злоумышленники открывают для отвлечения внимания. Параллельно извлекается скрытый PowerShell-скрипт, названный LeekGerminator.

LeekGerminator выполняет несколько критических задач. Сначала он проверяет, не работает ли система в изолированной среде (песочнице), подсчитывая количество недавних LNK-файлов и запущенных процессов. Если проверка пройдена, скрипт создаёт две запланированные задачи, которые привязаны к моменту входа пользователя в систему. Первая задача запускает через обёртку conhost переименованный SSH-сервер (messenger.exe), настроенный на приём только локальных соединений по порту 20321. Вторая задача активирует сам Tor (datagrip.exe) с конфигурацией, использующей мосты и протокол obfs4 для обфускации трафика. Tor перенаправляет соединения на локальный порт и открывает скрытый сервис в сети .onion. После этого LeekGerminator отправляет через SOCKS5-прокси HTTP-запрос к командному центру, передавая имя пользователя и уникальный идентификатор сервиса. Этот запрос снабжён тысячами повторных попыток, что обеспечивает устойчивость даже при нестабильной сети.

Новый элемент атак - метод эксфильтрации, названный LeekYield. После того как оператор из командного центра подключается к скомпрометированной системе через Tor или SSH, он загружает на хост утилиту rclone (переименованную в bittorrent.exe). Затем создаётся ещё одна запланированная задача, которая выполняет закодированный PowerShell-скрипт. Этот скрипт сканирует систему на наличие USB-накопителей, определяет букву диска и его GUID, а затем в течение трёх минут копирует файлы с этих носителей во временную папку. После сбора данные выгружаются по протоколу S3 в удалённое облачное хранилище через локальный порт 12191 и туннель, установленный ранее. Такой подход позволяет злоумышленникам извлекать информацию даже с физически изолированных рабочих станций, если на них подключены съёмные накопители.

Наибольший интерес представляет методология генерации вредоносных скриптов. В каждой новой атаке Leek Germinator и LeekSower имеют уникальные имена переменных, служебные строки и даже незначительные изменения в логике выполнения - например, некоторые действия переставлены или добавлены бесполезные операции. При этом общая структура и функциональность остаются идентичными. Исследователи предполагают, что злоумышленники используют большие языковые модели (LLM) для автоматической генерации вариантов кода. В своём анализе специалисты из "Лаборатории Касперского" отмечают, что имена переменных в разных сборках осмыслены, но не отражают сути, а энтропия невысока - это характерно для работы генеративного ИИ, а не для случайного набора символов. Такой подход значительно затрудняет сигнатурное детектирование: каждый новый образец выглядит как уникальная угроза.

Несмотря на хитрость, активность Leek Likho поддаётся обнаружению с помощью продвинутых средств защиты. Решения класса Endpoint Detection and Response (EDR) фиксируют аномальное поведение: запуск интерпретатора из LNK-файла в архиве, создание задач планировщика через PowerShell, а также использование Tor-приложения, переименованного в нестандартный процесс. Сетевое взаимодействие с помощью obfs4 также идентифицируется системой Anti Targeted Attack. Вердикты продуктов "Лаборатории Касперского" включают трояны-стилеры и специализированные детекты для LeekGerminator.

Группировка Leek Likho представляет собой серьёзную угрозу для государственных учреждений, особенно в странах постсоветского пространства. Сочетание социальной инженерии, легитимных инструментов удалённого администрирования, анонимной сети Tor и генерации кода с помощью ИИ делает кампанию сложной для блокировки. Организациям следует усилить мониторинг PowerShell, планировщика задач и нестандартных SSH-соединений, а также внедрить решения, способные выявлять аномальное поведение, а не только сигнатуры. Использование искусственного интеллекта злоумышленниками - тревожный сигнал: готовые вредоносные сценарии теперь могут адаптироваться под каждую жертву почти автоматически, что требует от защитников не менее гибких методов реагирования.

MD5

• 099e92221466c0d380f8fac942b65641
• 0b6f7356919b9632c1158681ee0462f3
• 14167b8732f917d9b15df47de9a94125
• 1a66a083fe2ac0adae45475825f3bb26
• 1ec5607bd9c37d6aabc43066fcb87ca6
• 2156c270ffe8e4b23b67efed191b9737
• 220ad634230523a239ab67253af00366
• 227b3fa386cad73f0f388d801060e2c8
• 27dde6318bb7b2ca4f1f5df97007fbb8
• 284a56c416681090b3965250db2052d7
• 2a290051c0e6fc27dab6d4212ed37641
• 3e3c5471c69e933fcffa4f497ca936b8
• 3e610b98255e35f492835b8c81d829a9
• 44652be9dc36c33ef0a35d4422523f7c
• 4b94efa49fb59a43ac4a9fdf04c87ef6
• 4d5074d6e0722ceec45a083fa8444164
• 53ac08488544ad1fefd6363db44549cf
• 53bb7a229647cd4de8e23c075d4ffc2a
• 57dbf8c275fa56b9a84e9c4b9a35399e
• 5d72a10241aa04f7d19da448cba2cab9
• 63426f624c930a756faf7ce3e7b4789f
• 6616717dfb2a795113b47d862c5412e2
• 6a72ad3c06a29e12e668e8701daee00e
• 6f49d5e80acdbef693263ef60399bb8b
• 7578d6578f17f3d2f532414cd7808396
• 85a2bd811866efadf369d6c0c54fc5b4
• 873480ab887de3a9cbbcccb982747637
• 8dbeb747aab3d3814bcee52c3b0f6ee5
• 99732e49668e56527963742922277459
• 99dc0dbaf5bd3918803391ec8d6d802c
• a6d095dc0e01f97db7e74cb5bed402dc
• a9cfe3f8ad5def658e774eb2f6f0792c
• ab24e08da9e205ee3d3a5a2a05345cb9
• ac60971512c77f845cc4ec47400368a6
• b1549dc141bad1ef7419b819f2419514
• b8095944013853d982c4c045372a97c1
• b95b03094ac3b361585ecfa88e0c78ca
• c26198c104844e44d77d3da5389c040d
• d57868d796f5ffac7a038f1392509625
• d7e7f396a695cb23d0fda4dc716e47a6
• dea287ef5916eced7808ca3704ae67a6
• e355f9f69019a1248f4959fea69fab5f
• ebc8b65e3e35f66147fa4cbb9051a192
• ef0b5a716fcaaa26553a16c0c725a1bf
• f1bc5841f6d6be1820848a7718bf4cce
• f2b470dc3fcd8a2fd7860851a81f3eb0
• f4d05a5cb783f1cdd179795125d23139
• ffefe836255e742abc3dc692d1dda3a4