Анализ активности APT-группы Librarian Ghouls в России и СНГ

Группа APT Librarian Ghouls: новые угрозы для России и стран СНГ в 2025 году

Группа Librarian Ghouls, также известная как Rare Werewolf или Rezet, активно действует против организаций России и стран СНГ. В отчете говорится, что атаки продолжаются до мая 2025 года и характеризуются использованием легального стороннего программного обеспечения вместо традиционных пользовательских вредоносных программ. Такая стратегия позволяет злоумышленникам оставаться незаметными и эффективно внедрять свои инструменты в защищенные инфраструктуры.

Тактика и методы атаки

Основной вектор заражения для группы Librarian Ghouls — фишинговые рассылки. В них злоумышленники прикрепляют защищённые паролем архивы, маскируя вредоносные исполняемые файлы под официальные документы. После запуска таких файлов происходит цепочка действий, направленных на установление управления системой жертвы:

• Запуск командных файлов и PowerShell-скриптов, которые обеспечивают удалённый доступ и кражу учётных данных;
• Установка криптомайнера XMRig для использования ресурсов заражённой машины;
• Использование самораспаковывающегося установщика, созданного с помощью Smart Install Maker;
• Загрузка множества вредоносных утилит с серверов командования и контроля (C2).

Используемые инструменты и утилиты

Группа широко применяет легальные программы, адаптируя их для своих нужд:

• Модифицированный WinRAR — для выполнения команд без уведомления пользователя;
• Blat — отправка украденных данных по электронной почте;
• AnyDesk — обеспечение удалённого доступа с установкой пароля, что позволяет злоумышленникам контролировать систему без ограничений;
• Defender Control — отключение встроенного антивируса Windows Defender;
• Скрипты, создающие запланированные задачи для ежедневного запуска Microsoft Edge, чтобы злоумышленники могли использовать систему в своих целях;
• Средства предотвращения потери данных (DLP) — мониторинг и кейлоггинг;
• Утилиты для восстановления паролей браузера;
• ngrok — туннелирование соединений для удалённого доступа к целевым компьютерам.

Особенности инфраструктуры и активность

Инфраструктура Librarian Ghouls включает в себя домены, связанные с их кампаниями, например, downdown.ru и dragonfires.ru. Эти ресурсы активно используются для управления заражёнными системами и поддержания постоянной связи с вредоносным ПО.

Примечательно, что группа регулярно обновляет свои конфигурации и инструментарий с конца 2024 года, демонстрируя высокую адаптивность и гибкость. Их фишинговые кампании разработаны на русском языке и ориентированы как на частных пользователей, так и на корпоративные организации, что облегчает кражу учётных данных и дальнейшую эксфильтрацию информации.

Цели и последствия деятельности группы

Основная цель Librarian Ghouls — шпионаж и финансовая выгода с фокусом на промышленные предприятия и образовательные учреждения в России, Беларуси и Казахстане. Постоянное совершенствование тактики и инструментов говорит о намерениях группы долго и целенаправленно препятствовать нормальной работе своих жертв.

Безопасность организаций в указанном регионе находится под серьёзной угрозой, и важно поддерживать высокий уровень мониторинга и анализа активности этой APT-группы, чтобы своевременно выявлять и нейтрализовать угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.