Атаки начались в сентябре и затронули предприятия авиационной и радиопромышленности.
«Лаборатория Касперского» о новой волне целевых атак группы Librarian Likho (ранее — Librarian Ghouls) против российских компаний авиационной и радиопромышленности. Кампания продолжается с сентября 2025 года, и впервые злоумышленники применяют вредоносное программное обеспечение собственной разработки. Анализ показал, что оно создано с использованием инструментов искусственного интеллекта.
Librarian Likho известна как группа, проводящая сложные кибератаки на организации в России и странах СНГ. Изначально она не занималась кибершпионажем, однако со временем стала охотиться за файлами, связанными с системами автоматизированного проектирования. Её интерес представляют компании из промышленного, телекоммуникационного, строительного, образовательного и энергетического секторов. Летом 2025 года фиксировались ночные атаки группы на российские организации.
Для получения доступа злоумышленники используют привычную тактику — целевые фишинговые рассылки. Жертвам отправляют письма с запароленными архивами, содержащими вредоносные файлы, замаскированные под документы реальных компаний. Вложенные файлы имитируют платёжные поручения, акты или коммерческие предложения. После открытия архива и запуска содержимого происходит заражение. Пароль к архиву указывается в письме, что затрудняет обнаружение атаки антивирусными средствами.
После проникновения в систему активируется граббер — вредоносная программа, собирающая документы, представляющие интерес для атакующих. Исследование кода показало, что при создании этого инструмента использовался ИИ-ассистент. Программа сканирует профили пользователей в заражённой системе, собирает файлы форматов .doc, .docx, .pdf, .txt, .xls и .xlsx из папок Desktop, Downloads и Documents, затем архивирует их и отправляет на почту злоумышленников.
Librarian Likho ранее не использовала собственные программы, предпочитая готовые инструменты, но в новой кампании группа изменила подход. Анализ указывает на участие ИИ в написании вредоноса — в коде обнаружено множество отладочных комментариев, типичных для генерации с помощью ассистентов.
Подробнее:
«Лаборатория Касперского» о новой волне целевых атак группы Librarian Likho (ранее — Librarian Ghouls) против российских компаний авиационной и радиопромышленности. Кампания продолжается с сентября 2025 года, и впервые злоумышленники применяют вредоносное программное обеспечение собственной разработки. Анализ показал, что оно создано с использованием инструментов искусственного интеллекта.
Librarian Likho известна как группа, проводящая сложные кибератаки на организации в России и странах СНГ. Изначально она не занималась кибершпионажем, однако со временем стала охотиться за файлами, связанными с системами автоматизированного проектирования. Её интерес представляют компании из промышленного, телекоммуникационного, строительного, образовательного и энергетического секторов. Летом 2025 года фиксировались ночные атаки группы на российские организации.
Для получения доступа злоумышленники используют привычную тактику — целевые фишинговые рассылки. Жертвам отправляют письма с запароленными архивами, содержащими вредоносные файлы, замаскированные под документы реальных компаний. Вложенные файлы имитируют платёжные поручения, акты или коммерческие предложения. После открытия архива и запуска содержимого происходит заражение. Пароль к архиву указывается в письме, что затрудняет обнаружение атаки антивирусными средствами.
После проникновения в систему активируется граббер — вредоносная программа, собирающая документы, представляющие интерес для атакующих. Исследование кода показало, что при создании этого инструмента использовался ИИ-ассистент. Программа сканирует профили пользователей в заражённой системе, собирает файлы форматов .doc, .docx, .pdf, .txt, .xls и .xlsx из папок Desktop, Downloads и Documents, затем архивирует их и отправляет на почту злоумышленников.
Librarian Likho ранее не использовала собственные программы, предпочитая готовые инструменты, но в новой кампании группа изменила подход. Анализ указывает на участие ИИ в написании вредоноса — в коде обнаружено множество отладочных комментариев, типичных для генерации с помощью ассистентов.
Подробнее:
Последнее редактирование:
