Новой волне целевых атак группы подверглась российская авиа- и радиопромышленность
«Лаборатория Касперского» обнаружила новую волну целевых кибератак группы Librarian Likho (ранее — Librarian Ghouls), направленную на российские организации из сфер авиа- и радиопромышленности. В кампании, которая продолжается с сентября 2025 года, злоумышленники впервые начали использовать для кражи конфиденциальной информации вредоносное ПО собственной разработки. Анализ указывает на то, что оно написано с использованием ИИ.
Что известно о Librarian Likho. Librarian Likho — это группа, которая проводит сложные целевые кибератаки на организации в России и странах СНГ. Изначально исследователи «Лаборатории Касперского» включили её в кластер Ghouls, так как злоумышленники не преследовали цель кибершпионажа. Однако позднее группа начала охотиться за файлами, характерными для систем автоматизированного проектирования. В числе целей — промышленность, телекоммуникации, строительство, образование, энергетика. В июне 2025 года стало известно о ночных кибератаках группы против российских организаций. Подробный анализ активности, а также техники, тактики и процедуры Librarian Likho описаны в аналитическом отчёте команды Kaspersky Cyber Threat Intelligence «Записки цифрового ревизора: три кластера угроз в киберпространстве».
Как начинается атака. Для получения первоначального доступа злоумышленники прибегают к своей «классической» тактике. Они рассылают целевые фишинговые письма с запароленными архивами, внутри которых содержатся вредоносные исполняемые файлы. Обычно атакующие маскируют их под сообщения от реальных организаций. Для приманки используются файлы, имитирующие официальные документы, например платёжные поручения, коммерческие предложения, акты выполненных работ. Заражение происходит после того, как жертва откроет архив, извлечёт и запустит его содержимое. Пароль к нему, как правило, указан в теле письма. Группа прибегает к такой уловке, чтобы затруднить обнаружение защитными решениями.
Граббер собственной разработки. На заражённом устройстве жертвы запускается граббер— зловред, который собирает документы, представляющие интерес для атакующих. Анализ кода показал, что злоумышленники пользовались ИИ-ассистентом для его разработки. Вредоносное ПО перебирает профили пользователей, зарегистрированных в заражённой системе, и собирает в архив файлы с расширениями .doc, .docx, .pdf, .txt, .xls, .xlsx, расположенные в папках Desktop, Downloads, Documents. После архив отправляется на электронную почту злоумышленников.
«Отличительной чертой Librarian Likho является то, что группа не использует собственные вредоносные программы. Однако на этот раз злоумышленники решили отступить от этого правила. В новой кампании атакующие обзавелись своими разработками. Причём всё указывает на то, что они созданы с использованием ИИ-ассистента. Такой вывод мы сделали по наличию множества отладочных комментариев в коде граббера, которые злоумышленники не потрудились удалить», — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
Решения «Лаборатории Касперского» детектируют вредоносное ПО, используемое в рамках обнаруженной кампании, и защищают от данной киберугрозы.
Чтобы защититься от сложных целевых атак, «Лаборатория Касперского» рекомендует организациям:
- обучать сотрудников цифровой грамотности, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»;
- использовать комплексную защиту компаний от киберугроз, например Kaspersky Symphony. Эта линейка продуктов обеспечивает всеобъемлющую видимость угроз и защиту в режиме реального времени. Она подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса;
- применять надёжные защитные решения от вендора, эффективность технологий которого подтверждается независимыми тестами;
- предоставлять SOC-командам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;
- своевременно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- ввести строгую парольную политику для корпоративных аккаунтов.
