数据来源:Librarian Ghouls APT carries out attacks with data theft and crypto miner deployment | Securelist (2025年6月9日)
事件概述:一个“不开发恶意软件”的APT组织
在高级持续性威胁(APT)的世界中,大多数攻击组织倾向于开发高度隐蔽的定制化木马。然而,Librarian Ghouls(又名“Rare Werewolf”或“Rezet”)却走了一条截然不同的道路——他们几乎不编写自己的恶意二进制程序,而是巧妙地组合使用大量合法第三方工具来实现攻击目标。
该组织自2024年底活跃至今,截至2025年5月仍在持续攻击俄罗斯及独联体国家(CIS)的企业用户,尤其是工业企业、工程院校和政府相关机构。其攻击目的明确:窃取敏感数据、长期远程控制、部署加密货币挖矿程序。
最令人震惊的是,该组织会通过定时任务在凌晨“唤醒”休眠的电脑,进行数据窃取和挖矿,得手后再自动关机,极具隐蔽性。
攻击链全景:从钓鱼邮件到夜间挖矿
1. 初始入侵:伪装成付款单的钓鱼邮件
攻击始于典型的鱼叉式钓鱼邮件,内容伪装成来自正规机构的“付款通知”或“财务文件”,附件为一个密码保护的压缩包,密码通常直接写在邮件正文中。
- 文件名多为俄语,如“Платежное поручение №131.pdf”(付款单131号);
- 实际内容是一个自解压安装包(使用 Smart Install Maker 制作),内含多个合法工具和脚本;
- 用户一旦解压并运行,感染链即被触发。
这种手法成本低、成功率高,且因使用“合法软件”而难以被传统杀毒软件识别。
2. 植入阶段:利用合法工具构建攻击环境
攻击者的核心策略是“白加黑”——用合法软件做坏事。安装包释放后,会将多个文件部署到 C:\Intel 目录,并通过批处理脚本(.cmd 和 .bat)串联整个攻击流程。
关键组件一览:
| 工具 | 用途 | 是否合法 |
|---|---|---|
| 4t Tray Minimizer | 将程序最小化至系统托盘,隐藏攻击痕迹 | ✅ 合法 |
| curl.exe | 下载后续载荷 | ✅ 合法 |
| Defender Control (dc.exe) | 禁用 Windows Defender | ✅ 合法 |
| Blat | 通过 SMTP 发送窃取的数据 | ✅ 合法 |
| AnyDesk | 实现远程桌面控制 | ✅ 合法 |
| WinRAR 3.80(定制版) | 打包窃取的数据 | ⚠️ 被修改 |
| XMRig 挖矿程序 | 挖取门罗币(Monero) | ❌ 恶意 |
| WebBrowserPassView / Mipko Monitor | 窃取浏览器密码、监控键盘 | ⚠️ 被滥用 |
攻击哲学:
Librarian Ghouls 几乎不开发恶意代码,而是像搭积木一样拼接现有工具,规避杀毒软件检测,极大降低了开发和维护成本。
3. 持久化与隐蔽控制:定时“唤醒”电脑
这是本次攻击中最富创意的一环。
攻击者设置了两个关键定时任务:
- 每天凌晨1点唤醒电脑
- 通过 PowerShell 脚本
wol.ps1创建任务,调用Microsoft Edge浏览器启动; - Edge 本身未被篡改,但它的启动会唤醒处于睡眠状态的系统;
- 攻击者借此获得一个4小时的远程操作窗口(1:00–5:00)。
- 通过 PowerShell 脚本
- 每天早上5点自动关机
- 创建名为
ShutdownAt5AM的计划任务; - 防止用户发现电脑“自己开机”或持续高负载运行;
- 掩盖挖矿和数据外传的痕迹。
- 创建名为
这种“夜间作业、清晨收工”的模式,极难被普通用户察觉,堪称“数字小偷”的完美作案时间。
4. 数据窃取:精准 targeting 加密钱包与系统凭证
bat.bat 脚本执行后,会主动搜索并打包以下敏感信息:
- 加密货币钱包文件:如
wallet.dat、keystore.json; - 钱包相关关键词文件:包含“кошельк”(钱包)、“seed”(助记词)、“bitcoin”、“usdt”等的文档;
- 系统注册表备份:通过
reg save命令导出HKLM\SAM和HKLM\SYSTEM,用于离线破解本地账户密码。
这些数据被打包成加密压缩包,通过 Blat 工具发送至攻击者控制的邮箱,完成数据外泄。
5. 挖矿部署:全自动安装 XMRig 矿机
在完成数据窃取后,攻击者会部署一个功能完整的挖矿系统:
- 下载
install.exe(矿机安装器); - 获取配置文件
bm.json,包含矿池地址和攻击者钱包ID; - 下载包含 XMRig 的压缩包,并解压至本地;
- 安装
bmcontrol.exe控制器,实现:- 主进程(master)监控子进程(worker);
- 子进程根据CPU、GPU、内存自动调整挖矿强度;
- 每60秒向矿池发送心跳,确保持续挖矿。
最终,run.exe 被加入开机自启,实现持久化挖矿,而所有临时脚本则被删除,不留痕迹。
技术特点与战术分析
核心战术亮点:
| 特点 | 说明 |
| 依赖合法工具(Living-off-the-Land) | 使用 AnyDesk、Blat、curl 等正常软件,绕过EDR检测 |
| 无自研恶意二进制 | 攻击逻辑由脚本(CMD/PS1)驱动,降低IOC提取难度 |
| 高度自动化 | 整个流程无需人工干预,适合大规模投放 |
| 时间规避策略 | 利用夜间唤醒机制,避开用户活动高峰 |
攻击目标画像:
- 地域:俄罗斯、白俄罗斯、哈萨克斯坦为主;
- 行业:工业制造、工程教育、政府关联单位;
- 语言:所有钓鱼材料均为俄语,表明目标高度本地化
与中国网络安全的关联与警示
虽然目前没有证据显示 Librarian Ghouls 直接攻击中国大陆实体,但其战术对国内企业极具参考价值:
风险点:
- 合法软件滥用难以检测
传统安全产品依赖“黑白名单”,但AnyDesk、curl、PowerShell都是正常工具,行为异常才应被关注。 - 定时任务成后门新宠
许多企业忽视对计划任务的审计,攻击者可借此实现持久化。 - 挖矿攻击转向隐蔽化
不再是简单的CPU飙升,而是结合“睡眠唤醒”、低强度挖矿,长期榨取资源。
防御建议:如何应对这类“白利用”攻击?
| 措施 | 说明 |
| 禁用不必要的远程控制软件 | 如非必要,禁止员工安装 AnyDesk、TeamViewer 等工具 |
| 限制PowerShell和CMD的使用 | 通过AppLocker或Intune策略限制脚本执行 |
| 启用计划任务审计 | 监控异常任务创建,尤其是涉及唤醒、关机、浏览器启动的行为 |
| 部署EDR/XDR解决方案 | 检测脚本链式调用、Blat外发邮件、注册表导出等可疑行为 |
| 加强邮件网关过滤 | 拦截带密码压缩包的邮件,尤其是来自非可信域名的附件 |
| 定期检查DNS和SMTP日志 | 发现Blat等工具外联行为 |
个人用户建议:
- 不打开来源不明的“.exe”或“.zip”附件;
- 不随意运行自解压程序;
- 定期检查“任务计划程序”中是否有陌生任务;
- 使用杀毒软件并保持更新。
趋势洞察:APT攻击的“平民化”与“自动化”
Librarian Ghouls 的出现,标志着APT攻击正在发生深刻变化:
| 趋势 | 表现 |
| 从“精英化”到“平民化” | 不需要高超编程能力,也能通过组合工具实施高级攻击 |
| 从“0day驱动”到“社会工程驱动” | 更依赖钓鱼邮件和用户误操作 |
| 从“破坏性”到“经济性” | 目标不再是情报窃取,而是直接变现(挖矿、勒索) |
这类组织可能并非国家级APT,而更接近有组织的网络犯罪团伙,但其战术成熟度已不亚于传统APT。
结语
Librarian Ghouls 的攻击方式看似“粗糙”,实则极其高效且隐蔽。它提醒我们:
“真正的威胁,未必是复杂的0day漏洞,而可能是你电脑里那个“合法”的远程控制软件,正在凌晨悄悄唤醒你的机器,为黑客挖矿。”
面对这类“白加黑”攻击,我们必须从“识别恶意文件”转向“监控异常行为”,构建以行为分析、日志审计和自动化响应为核心的现代防御体系。