СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
1 июня
#ИБ

Leek Likho атакует госорганизации через Tor, SSH и Telegram

Группа Leek Likho, также известная как SkyCloak и Vortex Werewolf, продолжает целевую кампанию против государственных организаций в России и Беларуси. По данным отчета, активность злоумышленников сохраняется как минимум до начала 2026 года и строится вокруг кражи документов, скрытного удаленного доступа и последующей эксфильтрации данных.

Ключевая особенность кампании — сочетание social engineering, вредоносных архивов и многоступенчатой цепочки заражения, в которой используются PowerShell-скрипты, Tor, SSH и инструмент rclone. Такая схема позволяет группе не только проникать в инфраструктуру жертв, но и долго сохранять скрытое присутствие в системе.

Как происходит первичное заражение

Первоначальный доступ в большинстве случаев обеспечивается через Telegram. Злоумышленники распространяют замаскированные вредоносные ссылки, ведущие к загрузке заранее подготовленных архивов. Внутри таких архивов обычно находится приманочный файл с двойным расширением и значком PDF, который должен убедить пользователя в его безобидности.

На деле этот файл является LNK-файлом, который при запуске инициирует выполнение командной строки и запускает цепочку сценариев. Именно она становится отправной точкой для дальнейшего развертывания вредоносной нагрузки.

Цепочка вредоносной нагрузки: LeekSower и LeekGerminator

После запуска LNK-файла активируется полезная нагрузка LeekSower. Ее задача — рекурсивно искать файлы, чтобы обнаружить исходный архив, а затем запускать скрытый PowerShell-процесс для перехода ко второму этапу атаки.

Следующий компонент, LeekGerminator, настраивает распакованные инструменты и создает запланированную задачу, которая срабатывает при входе пользователя в систему. Такой механизм обеспечивает устойчивость присутствия злоумышленников и позволяет им сохранять доступ даже после перезагрузки или обычной пользовательской активности.

Скрипт также:

  • ограничивает доступ SSH только локальными соединениями;
  • использует замаскированный путь к закрытому ключу;
  • отключает аутентификацию по паролю;
  • устанавливает скрытое соединение через Tor;
  • выполняет дополнительные HTTP-запросы для поддержания связи с зараженным хостом.

Экcфильтрация данных и работа с носителями

Для последующей эксфильтрации файлов группа использует инструмент LeekYield. После установления соединения он организует сбор данных, в том числе с USB-накопителей, и загружает их в удаленное хранилище через настроенное туннелирование по протоколу S3.

Отдельно отмечается, что rclone применяется для сбора файлов с системы жертвы перед их передачей наружу. Это делает кампанию особенно опасной для организаций, где активно используются съемные носители и локальные файловые хранилища.

Что выделяет эту кампанию

Инструменты и скрипты, применяемые в атаках Leek Likho, отличаются уникальными схемами именования и модификациями, которые адаптируются под конкретную жертву. По оценке авторов отчета, это может указывать на использование artificial intelligence для генерации части вредоносного кода и сопутствующих артефактов.

При этом в скриптах используются читаемые имена переменных, что говорит о меньшей степени обфускации по сравнению с классическими образцами вредоносного ПО. Такая комбинация — адаптивная генерация при относительно понятной структуре кода — делает кампанию заметной с точки зрения тактик уклонения.

Как обнаруживают активность Leek Likho

Решения Kaspersky Lab способны выявлять компоненты этой кампании за счет специализированных правил обнаружения, связанных со скриптами LeekSower и LeekGerminator. Дополнительно применяется мониторинг сетевого трафика на предмет признаков вредоносной активности, характерной для операций группы.

Отчет подчеркивает, что, несмотря на попытки усилить уклонение за счет artificial intelligence и индивидуальной настройки инструментов, обнаружение остается возможным. Ключевую роль здесь играют:

  • отслеживание аномального сетевого поведения;
  • контроль выполнения подозрительных сценариев;
  • детектирование связок PowerShell, Tor, SSH и архивов с двойными расширениями;
  • сигнатуры, привязанные к активности LeekSower и LeekGerminator.

Вывод

Leek Likho представляет собой сложную и хорошо адаптированную угрозу, нацеленную прежде всего на государственную инфраструктуру. Группа успешно эксплуатирует распространенные слабости в защите от social engineering, используя доверие пользователей к мессенджерам, архивам и визуально правдоподобным приманкам.

В условиях такой кампании критически важны контроль пользовательских загрузок, мониторинг сетевой активности, ограничение работы съемных носителей и регулярная проверка подозрительных LNK-файлов и архивов, полученных через внешние каналы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: