Librarian Ghouls: Новая волна атак на российские компании с использованием легального ПО

Отличительной чертой этой группы является предпочтение готовых решений вместо разработки собственных вредоносных инструментов. Вредоносная функциональность реализуется через командные файлы и PowerShell-скрипты, что усложняет детектирование. После проникновения злоумышленники получают удаленный доступ, крадут учетные данные и развертывают криптомайнер XMRig.

Как работает атака?

Первоначальное заражение происходит через фишинговые письма с архивами, защищенными паролем. Внутри содержатся исполняемые файлы, замаскированные под платежные документы. Жертва, открывая архив и извлекая файлы, запускает цепочку заражения.

Злоумышленники используют утилиту Smart Install Maker для создания самораспаковывающегося установщика, который развертывает легальный менеджер окон 4t Tray Minimizer. Это позволяет скрыть активность на зараженной системе. Далее загружаются дополнительные инструменты, включая AnyDesk для удаленного доступа, Blat для перехвата данных и утилиту для отключения Windows Defender.

Кража данных и майнинг

Специальный скрипт bat.bat выполняет серию действий: устанавливает пароль для AnyDesk, отключает защитные механизмы, создает задание на ежедневное выключение ПК в 5 утра и запускает PowerShell-скрипт для пробуждения системы в 1 ночи. Это дает злоумышленникам временное окно для действий.

Затем собираются данные: пароли от криптокошельков, дампы реестра SAM и SYSTEM. Информация упаковывается в архив и отправляется на серверы злоумышленников через SMTP. В завершение развертывается криптомайнер XMRig, который работает в фоновом режиме, используя ресурсы зараженного устройства.

Кто в зоне риска?

Основными целями стали промышленные предприятия и учебные заведения в России, Беларуси и Казахстане. Фишинговые письма написаны на русском языке, а документы-приманки также локализованы, что указывает на целенаправленный характер атак.

Выводы

"Librarian Ghouls" демонстрируют черты хактивистских групп, полагаясь на легальное ПО и постоянно обновляя свои инструменты. На момент публикации кампания остается активной, а злоумышленники продолжают совершенствовать методы атак, включая фишинговые сайты для компрометации почтовых аккаунтов. Эксперты рекомендуют усилить защиту от фишинга и мониторинг необычной активности в корпоративных сетях.

Domains

• accouts-verification.ru
• acountservices.nl
• anyhostings.ru
• anyinfos.ru
• bmapps.org
• center-mail.ru
• claud-mail.ru
• deauthorization.online
• detectis.ru
• downdown.ru
• dragonfires.ru
• email-informer.ru
• email-office.ru
• hostingforme.nl
• mail-cheker.nl
• office-account.ru
• office-email.ru
• outinfo.ru
• redaction-voenmeh.info
• supersuit.site
• unifikator.ru
• users-mail.ru
• verifikations.ru
• vniir.nl
• vniir.space

SHA256

• 01793e6f0d5241b33f07a3f9ad34e40e056a514c5d23e14dc491cee60076dc5a
• 1b409644e86559e56add5a65552785750cd36d60745afde448cce7f6f3f09a06
• 2af2841bf925ed1875faadcbb0ef316c641e1dcdb61d1fbf80c3443c2fc9454f
• 2f3d67740bb7587ff70cc7319e9fe5c517c0e55345bf53e01b3019e415ff098b
• 311ec9208f5fe3f22733fca1e6388ea9c0327be0836c955d2cf6a22317d4bdca
• 4d590a9640093bbda21597233b400b037278366660ba2c3128795bc85d35be72
• 53fd5984c4f6551b2c1059835ea9ca6d0342d886ba7034835db2a1dd3f8f5b04
• 636d4f1e3dcf0332a815ce3f526a02df3c4ef2890a74521d05d6050917596748
• 649ee35ad29945e8dd6511192483dddfdfe516a1312de5e0bd17fdd0a258c27f
• 65f7c3e16598a8cb279b86eaeda32cb7a685801ed07d36c66ff83742d41cd415
• 6954eaed33a9d0cf7e298778ec82d31bfbdf40c813c6ac837352ce676793db74
• 6c86608893463968bfda0969aa1e6401411c0882662f3e70c1ac195ee7bd1510
• 702bf51811281aad78e6ca767586eba4b4c3a43743f8b8e56bb93bc349cb6090
• 785a5b92bb8c9dbf52cfda1b28f0ac7db8ead4ec3a37cfd6470605d945ade40e
• 7c4a99382dbbd7b5aaa62af0ccff68aecdde2319560bbfdaf76132b0506ab68a
• 7d6b598eaf19ea8a571b4bd79fd6ff7928388b565d7814b809d2f7fdedc23a0a
• 8b6afbf73a9b98eec01d8510815a044cd036743b64fef955385cbca80ae94f15
• 8bdb8df5677a11348f5787ece3c7c94824b83ab3f31f40e361e600576909b073
• 977054802de7b583a38e0524feefa7356c47c53dd49de8c3d533e7689095f9ac
• 9cce3eaae0be9b196017cb6daf49dd56146016f936b66527320f754f179c615f
• a6ff418f0db461536cff41e9c7e5dba3ee3b405541519820db8a52b6d818a01e
• c353a708edfd0f77a486af66e407f7b78583394d7b5f994cd8d2e6e263d25968
• c5eeec72b5e6d0e84ff91dfdcbefbbbf441878780f887febb0caf3cbe882ec72
• c79413ef4088b3a39fe8c7d68d2639cc69f88b10429e59dd0b4177f6b2a92351
• cab1c4c675f1d996b659bab1ddb38af365190e450dec3d195461e4e4ccf1c286
• d7bcab5acc8428026e1afd694fb179c5cbb74c5be651cd74e996c2914fb2b839
• d8edd46220059541ff397f74bfd271336dda702c6b1869e8a081c71f595a9e68
• de998bd26ea326e610cc70654499cebfd594cc973438ac421e4c7e1f3b887617
• dfac7cd8d041a53405cc37a44f100f6f862ed2d930e251f4bf22f10235db4bb3
• e6ea6ce923f2eee0cd56a0874e4a0ca467711b889553259a995df686bd35de86
• e880a1bb0e7d422b78a54b35b3f53e348ab27425f1c561db120c0411da5c1ce9
• f8c80bbecbfb38f252943ee6beec98edc93cd734ec70ccd2565ab1c4db5f072f
• fd58900ea22b38bad2ef3d1b8b74f5c7023b8ca8a5b69f88cfbfe28b2c585baf