Город засыпает, просыпается APT: как Librarian Ghouls крадут данные по ночам

Введение

Librarian Ghouls, также известные как Rare Werewolf и Rezet, — это APT-группа, которая атакует организации в Российской Федерации и странах СНГ. Наши коллеги из других компаний-вендоров защитных решений также отслеживают активность этой APT и публикуют анализ ее кампаний. По состоянию на май 2025 года группа остается активной и регулярно проводит атаки на российские предприятия.

Одна из характерных черт этой угрозы заключается в том, что злоумышленники не создают собственные вредоносные бинарные модули. Для достижения своих целей группа предпочитает использовать легитимное ПО сторонних разработчиков. Вредоносная функциональность кампании, описываемой в этой статье, реализована с помощью командных файлов и PowerShell-скриптов. Атакующие получают удаленный доступ к устройству жертвы, крадут учетные данные и устанавливают в систему майнер XMRig.

В ходе исследования мы обнаружили новые инструменты в арсенале этой APT-группы, о которых подробно расскажем в статье.

Технические детали

Начальный вектор заражения

Атаки Librarian Ghouls практически не прекращались в течение 2024 года — мы отметили незначительный спад активности группы в декабре, после чего в этом же месяце зафиксировали начало очередной волны атак, которая продолжается до сих пор. Главный начальный вектор заражения группы — целевые фишинговые письма, содержащие защищенные паролем архивы с исполняемыми файлами. Такие вредоносные сообщения обычно замаскированы под письма от реальных организаций с якобы официальными документами во вложении. Заражение происходит следующим образом: жертва открывает прикрепленный архив (пароль обычно указывается в теле письма), распаковывает и запускает его содержимое.

Нам удалось получить вредоносный имплант из архива, маскирующегося под платежное поручение. Этот образец является самораспаковывающимся инсталлятором, созданным при помощи утилиты Smart Install Maker для Windows.

В этом инсталляторе содержатся три файла: архив, конфигурационный файл и пустой файл, не представляющий интерес для исследования. Позже при распаковке они получают названия data.cab, installer.config и runtime.cab соответственно.

Основная вредоносная логика реализована в конфигурационном файле инсталлятора. Он содержит множество команд для модификации реестра, при помощи которых выполняется автоматическая установка легитимного диспетчера открытых окон 4t Tray Minimizer в систему. Это программное обеспечение может сворачивать запущенные приложения в системный трей, что позволяет атакующим скрывать следы пребывания в зараженной системе.

После установки 4t Tray Minimizer инсталлятор извлекает три файла из data.cab и помещает их в папку C:\Intel по следующим путям:

PDF-приманка выглядит как платежное поручение на незначительную сумму:

PDF-документ, имитирующий платежное поручение

Вредоносный скрипт rezet.cmd

Распаковав data.cab, инсталлятор создает и запускает командный файл rezet.cmd, который обращается к вредоносному C2-серверу downdown[.]ru, где размещено шесть файлов с расширением .jpg. rezet.cmd загружает их в директорию C:\Intel, меняя расширения следующим образом: driver.exe, blat.exe, svchost.exe, Trays.rar, wol.ps1 и dc.exe.

• driver.exe — это кастомизированная сборка rar.exe, консольной версии WinRAR 3.80. В этой версии удалены строки для диалога с пользователем: она может выполнять команды, но не выводит никакую значимую информацию в консоль.
• blat.exe — это легитимная утилита Blat для отправки почтовых сообщений и файлов по SMTP-протоколу. Атакующие используют ее для доставки украденных данных на сервер электронной почты, подконтрольный им.
• svchost.exe — ПО AnyDesk для удаленного доступа. Злоумышленники используют эту утилиту для удаленного управления зараженной машиной.
• dc.exe — ПО Defender Control, позволяющее отключить Защитник Windows.

После загрузки файлов скрипт распаковывает Trays.rar при помощи заданного пароля и консольной утилиты driver.exe в ту же директорию C:\Intel и запускает Trays.lnk из распакованного содержимого. Этот ярлык позволяет запускать 4t Tray Minimizer свернутым в трей.
Далее скрипт устанавливает AnyDesk на зараженное устройство и загружает файл bat.bat с того же C2-сервера в папку C:\Intel\AnyDesk. Последним действием скрипта rezet.cmd является запуск файла bat.lnk, ранее извлеченного из data.cab.

Вредоносный скрипт bat.bat

При открытии ярлыка bat.lnk запускается пакетный файл bat.bat, который выполняет серию вредоносных действий.

Понижение уровня защиты и запланированная задача

Сначала BAT-файл задает пароль QWERTY1234566 для ПО AnyDesk — это позволяет атакующим установить соединение с устройством жертвы без необходимости запрашивать подтверждение.

Затем скрипт отключает Защитник Windows при помощи загруженного ранее приложения Defender Control (dc.exe).

Чтобы проверить, что компьютер жертвы включен и доступен для удаленных подключений, пакетный файл шесть раз запускает утилиту powercfg с различными параметрами — она позволяет контролировать настройки электропитания на локальной машине.

Далее bat.bat запускает утилиту schtasks для создания задачи планировщика ShutdownAt5AM, которая выключает ПК жертвы ежедневно в 05:00 утра. Мы полагаем, что таким образом атакующие скрывают следы выполненной вредоносной активности, чтобы у пользователя не возникли подозрения о перехвате контроля над его устройством.

Понижение уровня защиты и настройка энергопотребления во вредоносном скрипте bat.bat

Скрипт «Подъем!» и кража данных

Далее пакетный файл выполняет скрипт wol.ps1 при помощи PowerShell.

Содержимое скрипта wol.ps1

Этот скрипт используется для запуска Microsoft Edge в 01:00 ежедневно. Мы не видели признаков подмены или компрометации msedge.exe, поэтому полагаем, что это легитимный исполняемый файл Microsoft Edge. Ежедневный запуск браузера «будит» машину жертвы, предоставляя атакующим 4 часа для получения несанкционированного удаленного доступа к зараженному устройству при помощи AnyDesk, пока в 05:00 задача планировщика не выключит компьютер.

После выполнения PowerShell-скрипта bat.bat удаляет утилиту curl, архив Trays.rar и инсталлятор AnyDesk. Злоумышленникам эти компоненты больше не нужны: на текущем этапе заражения все необходимые вредоносные файлы и сторонние утилиты уже загружены при помощи curl, Trays.rar распакован, а AnyDesk установлен на устройстве.

Затем пакетный файл задает переменные окружения для работы с утилитой Blat. Значениями этих переменных, помимо прочего, являются адреса электронной почты, куда будут отправлены данные жертвы, и пароли к этим учетным записям.

Следующим шагом зловред собирает хранящуюся на устройстве информацию, интересующую злоумышленников:

• учетные данные и ключевые фразы криптовалютных кошельков;
• дампы веток реестра HKLM\SAM и HKLM\SYSTEM (при помощи утилиты reg.exe).

Сбор данных вредоносным скриптом bat.bat

Собранную информацию BAT-файл упаковывает в два отдельных архива, защищенных паролем, используя утилиту driver.exe. После этого скрипт запускает blat.exe, чтобы отправить данные жертвы и конфигурационные файлы утилиты AnyDesk атакующим по протоколу SMTP.

Установка майнера и самоудаление

Далее bat.bat удаляет из папки C:\Intel\ файлы, созданные в ходе атаки, и устанавливает в зараженную систему майнер. Для этого скрипт создает конфигурационный файл bm.json, содержащий адрес пула для майнинга и идентификатор злоумышленников, после чего скачивает install.exe с URL-адреса hxxp://bmapps[.]org/bmcontrol/win64/Install.exe.

install.exe — это инсталлятор, который проверяет наличие в системе конфигурационного JSON-файла и процесса bmcontrol.exe. Если этот процесс обнаружен, инсталлятор завершает его.

Затем install.exe скачивает архив с инструментами для майнинга с hxxps://bmapps[.]org/bmcontrol/win64/app-1.4.zip.
В архиве находятся следующие файлы:

• _install.exe — новая версия инсталлятора (в исследуемых атаках образцы не различались, но мы полагаем, что злоумышленники предусмотрели сценарий обновления зловреда);
• bmcontrol.exe — контроллер майнера;
• run.exe, stop.cmd, uninstall.cmd — инструменты для запуска, остановки и удаления контроллера;
• майнер XMRig.

В зависимости от параметров JSON-файла далее либо используется исходный файл инсталлятора без изменений, либо _install.exe переименовывается в install.exe и запускается. После этого инсталлятор добавляет run.exe в автозапуск. Эта утилита проверяет наличие уже запущенного контроллера bmcontrol.exe в зараженной системе и, если он не найден, запускает его из скачанного архива.

bmcontrol.exe после запуска создает два процесса: master и worker. master запускает и постоянно мониторит worker, а также перезапускает его, если последний незапланированно завершает работу. Кроме того, master передает процессу worker конфигурационный JSON-файл.
Перед запуском майнера XMRig процесс worker собирает следующую информацию о системе:

1. Количество доступных ядер процессора.
2. Объем доступной оперативной памяти.
3. Наличие GPU.

Эти данные используются для конфигурации майнера на зараженном устройстве, а также отправляются на сервер злоумышленников. Далее запускается XMRig, во время работы которого worker постоянно поддерживает соединение с пулом для майнинга, отправляя запрос раз в 60 секунд.

Установив майнер в систему, скрипт bat.bat удаляет себя с устройства жертвы.

Легитимное ПО, использованное атакующими

Практика использования стороннего легитимного ПО для достижения вредоносных целей (T1588.002) не нова и может усложнить обнаружение и атрибуцию APT-активности. Мы наблюдаем эту технику в текущих кампаниях различных APT-групп, в частности из кластера Likho.

Помимо описанных выше утилит мы также наблюдали следующее ПО в атаках Librarian Ghouls:

• Mipko Personal Monitor — DLP-система, которая используется атакующими для слежки за жертвой: это ПО может собирать снимки экрана, записывать нажатые клавиши и т. п. Любопытно, что в ресурсах одного из образцов мы обнаружили архив MPK.rar с файлами языковых настроек Ukrainian.frc и Ukrainian.lng — вероятно, злоумышленники владеют украинским языком.
• WebBrowserPassView — утилита для восстановления паролей, которая может извлекать пароли, сохраненные в веб-браузерах. Злоумышленники используют ее для кражи учетных данных жертвы.
• ngrok — глобальный обратный прокси-сервис, который защищает и ускоряет сетевые службы. Используется злоумышленниками для подключений к машинам жертв.
• NirCmd — легитимная утилита, которая позволяет выполнять различные действия в ОС без отображения пользовательского интерфейса. С ее помощью атакующие скрытно запускают скрипты и исполняемые файлы.

Фишинговая кампания

В ходе исследования мы обнаружили ряд доменов, которые с низким уровнем уверенности относим к текущей кампании Librarian Ghouls. Часть из них оставалась активной на момент исследования: например, users-mail[.]ru и deauthorization[.]online. Эти домены содержали фишинговые страницы, сгенерированные при помощи PHP-скриптов и нацеленные на кражу учетных данных от почтового сервиса mail.ru.

Пример фишинговой страницы, связанной с APT-кампанией

Инфраструктура

Описанный в статье имплант обращался к командным серверам downdown[.]ru и dragonfires[.]ru с IP-адресом 185.125.51[.]5.

Анализируя инфраструктуру злоумышленников, мы обнаружили любопытную особенность: для ряда вредоносных веб-серверов, относящихся к текущей серии атак, был подключен листинг директорий, что дало нам возможность просмотреть хранящиеся в них файлы.

Листинг директорий на вредоносном сервере

Жертвы

На момент исследования, согласно нашей телеметрии, жертвами этой кампании стали сотни пользователей из России. В основном кампания нацелена на производственные предприятия; злоумышленников также интересовали технические университеты. Кроме того, описанные атаки затронули пользователей в Беларуси и Казахстане.

Стоит отметить, что фишинговые письма написаны на русском языке и содержат архивы с русскоязычными названиями, а также документы-приманки на русском. Это дает нам основания считать, что основные цели этой кампании находятся в России или используют русский язык в качестве основного.

Об атакующих

Librarian Ghouls — одна из групп злоумышленников, которая, вероятно, имеет отношение к российско-украинскому конфликту. Это находит подтверждение в виктимологии атак. Кроме того, APT имеет типичные для хактивистских групп характеристики: использует самораспаковывающиеся архивы и не создает собственные вредоносные бинарные модули, вместо этого целиком полагаясь на сторонние легитимные утилиты.

С начала текущей кампании в декабре 2024 года мы отмечаем активное обновление имплантов: они различаются конфигурационными файлами и набором легитимных утилит. На момент публикации в нашу статистику попало более 100 вредоносных файлов.

Выводы

Описанная в статье кампания APT Librarian Ghouls по-прежнему активна на момент публикации: мы фиксируем атаки, проведенные в мае 2025 года. Как и ранее, злоумышленники используют сторонние легитимные утилиты для достижения своих целей, не создавая собственных инструментов, а вся вредоносная функциональность этой угрозы реализована в виде скриптов: скрипт инсталлятора, командные скрипты и скрипты PowerShell. Отметим, что атакующие постоянно работают над улучшением своих методов: они не только воруют важные для пользователя данные, но и устанавливают утилиту удаленного управления на зараженные машины, а также используют фишинговые сайты для кражи почтовых учетных записей жертв. Мы постоянно наблюдаем за этой угрозой и продолжим делиться актуальной информацией о ее активности.

Индикаторы компрометации

* Дополнительные индикаторы компрометации и правило YARA для детектирования активности группы Librarian Ghouls доступны клиентам сервиса аналитических отчетов об APT-угрозах. Для получения более подробной информации свяжитесь с нами по адресу intelreports@kaspersky.com.

Импланты

d8edd46220059541ff397f74bfd271336dda702c6b1869e8a081c71f595a9e68
2f3d67740bb7587ff70cc7319e9fe5c517c0e55345bf53e01b3019e415ff098b
de998bd26ea326e610cc70654499cebfd594cc973438ac421e4c7e1f3b887617
785a5b92bb8c9dbf52cfda1b28f0ac7db8ead4ec3a37cfd6470605d945ade40e
c79413ef4088b3a39fe8c7d68d2639cc69f88b10429e59dd0b4177f6b2a92351
53fd5984c4f6551b2c1059835ea9ca6d0342d886ba7034835db2a1dd3f8f5b04

Конфигурационные файлы имплантов

f8c80bbecbfb38f252943ee6beec98edc93cd734ec70ccd2565ab1c4db5f072f
4d590a9640093bbda21597233b400b037278366660ba2c3128795bc85d35be72
1b409644e86559e56add5a65552785750cd36d60745afde448cce7f6f3f09a06
7c4a99382dbbd7b5aaa62af0ccff68aecdde2319560bbfdaf76132b0506ab68a
702bf51811281aad78e6ca767586eba4b4c3a43743f8b8e56bb93bc349cb6090
311ec9208f5fe3f22733fca1e6388ea9c0327be0836c955d2cf6a22317d4bdca

Вредоносные вложения-архивы

fd58900ea22b38bad2ef3d1b8b74f5c7023b8ca8a5b69f88cfbfe28b2c585baf
e6ea6ce923f2eee0cd56a0874e4a0ca467711b889553259a995df686bd35de86
6954eaed33a9d0cf7e298778ec82d31bfbdf40c813c6ac837352ce676793db74

Вредоносные bat-файлы

e880a1bb0e7d422b78a54b35b3f53e348ab27425f1c561db120c0411da5c1ce9
c353a708edfd0f77a486af66e407f7b78583394d7b5f994cd8d2e6e263d25968
636d4f1e3dcf0332a815ce3f526a02df3c4ef2890a74521d05d6050917596748
c5eeec72b5e6d0e84ff91dfdcbefbbbf441878780f887febb0caf3cbe882ec72
8bdb8df5677a11348f5787ece3c7c94824b83ab3f31f40e361e600576909b073
2af2841bf925ed1875faadcbb0ef316c641e1dcdb61d1fbf80c3443c2fc9454f

Документы-приманки

cab1c4c675f1d996b659bab1ddb38af365190e450dec3d195461e4e4ccf1c286
dfac7cd8d041a53405cc37a44f100f6f862ed2d930e251f4bf22f10235db4bb3
977054802de7b583a38e0524feefa7356c47c53dd49de8c3d533e7689095f9ac
65f7c3e16598a8cb279b86eaeda32cb7a685801ed07d36c66ff83742d41cd415
a6ff418f0db461536cff41e9c7e5dba3ee3b405541519820db8a52b6d818a01e
6c86608893463968bfda0969aa1e6401411c0882662f3e70c1ac195ee7bd1510

Вредоносные PS1-скрипты

8b6afbf73a9b98eec01d8510815a044cd036743b64fef955385cbca80ae94f15
7d6b598eaf19ea8a571b4bd79fd6ff7928388b565d7814b809d2f7fdedc23a0a
01793e6f0d5241b33f07a3f9ad34e40e056a514c5d23e14dc491cee60076dc5a

Установщик майнера (Install.exe)
649ee35ad29945e8dd6511192483dddfdfe516a1312de5e0bd17fdd0a258c27f

Контроллер майнера (bmcontrol.exe)
9cce3eaae0be9b196017cb6daf49dd56146016f936b66527320f754f179c615f

Утилита, запускающая майнер (run.exe)
d7bcab5acc8428026e1afd694fb179c5cbb74c5be651cd74e996c2914fb2b839

Легитимное ПО

AnyDesk
Blat
curl
Defender Control
Кастомизированный RAR 3.80
AnyDesk
Mipko Personal Monitor
ngrok
NirCmd
4t Tray Minimizer
WebBrowserPassView

Вредоносные домены Librarian Ghouls

vniir[.]space
vniir[.]nl
hostingforme[.]nl
mail-cheker[.]nl
unifikator[.]ru
outinfo[.]ru
anyhostings[.]ru
center-mail[.]ru
redaction-voenmeh[.]info
acountservices[.]nl
accouts-verification[.]ru
office-email[.]ru
email-office[.]ru
email-informer[.]ru
office-account[.]ru
deauthorization[.]online
anyinfos[.]ru
verifikations[.]ru
claud-mail[.]ru
users-mail[.]ru
detectis[.]ru
supersuit[.]site
downdown[.]ru
dragonfires[.]ru
bmapps[.]org