Librarian Likho атакует российские компании ИИ-вредоносом

Екатерина Быстрова 15 Октября 2025 - 15:28

Корпорации

Государство

Лаборатория Касперского

Таргетированные атаки

GenAI (генеративный искусственный интеллект)

...

Librarian Likho атакует российские компании ИИ-вредоносом

«Лаборатория Касперского» сообщила о новой волне целевых кибератак группы Librarian Likho (ранее известной как Librarian Ghouls). Под удар попали российские компании из авиационной и радиопромышленной отраслей. По данным экспертов, злоумышленники впервые применили вредонос собственной разработки, созданный с помощью ИИ.

Группа Librarian Likho действует против организаций в России и странах СНГ уже несколько лет.

Изначально, как отмечают в «Лаборатории Касперского», она не занималась шпионажем, но со временем начала охотиться за технической документацией, особенно за файлами систем автоматизированного проектирования (САПР). В числе её жертв — компании из сфер промышленности, телекоммуникаций, энергетики, строительства и образования.

Летом 2025 года специалисты уже фиксировали активность этой группы — тогда она проводила ночные атаки на российские организации.

Как проходит атака

Как и раньше, хакеры начинают с целенаправленного фишинга. Они рассылают письма с запароленными архивами, в которых находятся вредоносные файлы, замаскированные под платёжные поручения, коммерческие предложения или акты выполненных работ. Пароль к архиву указывается прямо в тексте письма — это помогает обойти антивирусные фильтры.

После запуска файла на устройстве жертвы активируется граббер — программа, собирающая документы, интересные злоумышленникам. Он сканирует профили пользователей и архивирует файлы форматов .doc, .pdf, .xls и других из папок Desktop, Downloads и Documents. Полученный архив злоумышленники отправляют на свою почту.

Вредонос с элементами ИИ

Анализ кода показал, что новый граббер создан с использованием ИИ-ассистента. Об этом свидетельствуют многочисленные отладочные комментарии, которые хакеры забыли удалить — типичная ошибка при машинной генерации кода.

«Раньше Librarian Likho не использовала собственные вредоносы, но в этой кампании группа отступила от привычной схемы. Судя по всему, злоумышленники решили перейти на саморазработку, а ИИ помог им ускорить процесс», — объясняет Олег Купреев, эксперт по кибербезопасности «Лаборатории Касперского».

По данным компании, продукты «Лаборатории Касперского» уже детектируют вредоносную программу, используемое в новой кампании, и способны блокировать подобные атаки.

Эксперты отмечают, что применение искусственного интеллекта при разработке вредоносов — тревожный тренд. Это упрощает жизнь злоумышленникам, позволяя им быстрее создавать и модифицировать инструменты для кибератак.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: