Российские предприятия «накрыло волной» целевых атак от Librarian Likho
Эксперты «Лаборатории Касперского» зафиксировали активные целевые атаки группы Librarian Likho. Под ударом оказались российские компании из сфер авиа- и радиопромышленности. Злоумышленники действуют с сентября 2025 года и впервые начали использовать собственное вредоносное ПО. Анализ показывает, что программное обеспечение написано с помощью ИИ.
Librarian Likho - группировка специализируется на проведении сложных направленных атак на объекты инфраструктуры России и стран СНГ. Ранее Librarian Likho не занимались кибершпионажем. Теперь группа замечена за охотой на файлы, которые связаны с системами автоматизированного проектирования. Сферы под прицелом: промышленность, телекоммуникации, строительство, образование и энергетика. В июне 2025 года зарегистрированы случаи ночных нападений на российские структуры.
Для проникновения в инфраструктуру жертв, злоумышленники используют фишинговые письма с запароленными архивами. Внутри архивов вредоносные исполняемые файлы. Письма замаскированы под сообщения от настоящих компаний. В качестве приманки имитация документов: коммерческие предложения, акты приемки и т.д. Процесс заражения начинается, когда жертва запустит содержимое файлов.
Следующим шагов включается граббер, который собирает необходимые документы. Исследование кода показало, что для разработки зловреда использовался ИИ-ассистент. Граббер ищет документы в Desktop, Downloads, Documents. Далее формирует архив с файлами и отправляет на электронную почту злоумышленников.
Главное отличие Librarian Likho заключалось в том, что они не использовали вреносные программы собственной разработки. В новой кампании злоумышленники отошли от правила и атаковали использовали свои разработки.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.