СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
09.06.2025
#ИБ

«Лаборатория Касперского» обнаружила хакеров, атакующих по ночам

171Лаборатория Касперского187 обнаружила хакеров, атакующих по ночам

Изображение: recraft

Исследователи из «Лаборатории Касперского» поделились сведениями об организованной хакерской кампании, развёрнутой на территории России с конца 2024 года. Под перекрёстным наблюдением аналитиков оказалась группировка Librarian Ghouls, активно действующая с часу ночи до пяти утра по местному времени.

По словам специалистов, злоумышленники сосредоточились на взломе корпоративных пользователей, работающих в сфере промышленности и технического образования. Ранее Librarian Ghouls уже проявляли интерес к отдельным объектам в странах СНГ и РФ. В новой волне атак группа продолжает использовать софт, легально применяемый в ИТ-среде, что затрудняет мгновенное обнаружение заражений.

Эксперты подчёркивают, что конечная цель преступников — получение постоянного контроля над чужими устройствами и кража учётных данных. Также в числе приоритетов хакеров — добыча цифровой валюты. На скомпрометированных компьютерах они разворачивают скрытые майнеры, а также, по предварительной оценке аналитиков, начинают использовать поддельные сайты, внешне неотличимые от настоящих ресурсов одного из популярных российских почтовых сервисов.

Начало атаки отмечено фишинговыми письмами с вложениями в виде архивов, защищённых паролем. При открытии вредоносный файл распаковывается и оседает в одной из системных папок, позволяя хакерам наладить удалённый доступ к устройству. Используемый сценарий действий обеспечивает невидимость вредоносного кода в течение всей сессии.

Как уточнили в «Лаборатории Касперского», вредоносный скрипт активизируется ровно в 01:00 и завершает работу в 05:00. За это время киберпреступники успевают извлечь конфиденциальную информацию, в том числе логины, пароли и криптовалютные фразы, после чего система выключается автоматически с использованием встроенного планировщика.

Мария Наместникова, представляющая исследовательское подразделение «Лаборатории Касперского», пояснила, что в завершении сессии вирусное ПО автоматически удаляет как следы взлома, так и себя, не оставляя улики в файловой системе. После очистки злоумышленники внедряют майнер для продолжения использования заражённого устройства без ведома владельца.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: