Gsws25博客

菜单

Gswsfh
发布于 2025-07-30 / 1 阅读
0
0

深度解析:Librarian Ghouls APT 组织——夜间“唤醒”电脑窃取数据并挖矿

#APT报告

数据来源:Librarian Ghouls APT carries out attacks with data theft and crypto miner deployment | Securelist (2025年6月9日)

事件概述:一个“不开发恶意软件”的APT组织

在高级持续性威胁(APT)的世界中,大多数攻击组织倾向于开发高度隐蔽的定制化木马。然而,Librarian Ghouls(又名“Rare Werewolf”或“Rezet”)却走了一条截然不同的道路——他们几乎不编写自己的恶意二进制程序,而是巧妙地组合使用大量合法第三方工具来实现攻击目标。

该组织自2024年底活跃至今,截至2025年5月仍在持续攻击俄罗斯及独联体国家(CIS)的企业用户,尤其是工业企业、工程院校和政府相关机构。其攻击目的明确:窃取敏感数据、长期远程控制、部署加密货币挖矿程序

最令人震惊的是,该组织会通过定时任务在凌晨“唤醒”休眠的电脑,进行数据窃取和挖矿,得手后再自动关机,极具隐蔽性。

攻击链全景:从钓鱼邮件到夜间挖矿

1. 初始入侵:伪装成付款单的钓鱼邮件

攻击始于典型的鱼叉式钓鱼邮件,内容伪装成来自正规机构的“付款通知”或“财务文件”,附件为一个密码保护的压缩包,密码通常直接写在邮件正文中。

  • 文件名多为俄语,如“Платежное поручение №131.pdf”(付款单131号);

  • 实际内容是一个自解压安装包(使用 Smart Install Maker 制作),内含多个合法工具和脚本;

  • 用户一旦解压并运行,感染链即被触发。

这种手法成本低、成功率高,且因使用“合法软件”而难以被传统杀毒软件识别。

2. 植入阶段:利用合法工具构建攻击环境

攻击者的核心策略是“白加黑”——用合法软件做坏事。安装包释放后,会将多个文件部署到 C:\Intel 目录,并通过批处理脚本(.cmd.bat)串联整个攻击流程。

关键组件一览:

工具

用途

是否合法

4t Tray Minimizer

将程序最小化至系统托盘,隐藏攻击痕迹

✅ 合法

curl.exe

下载后续载荷

✅ 合法

Defender Control (dc.exe)

禁用 Windows Defender

✅ 合法

Blat

通过 SMTP 发送窃取的数据

✅ 合法

AnyDesk

实现远程桌面控制

✅ 合法

WinRAR 3.80(定制版)

打包窃取的数据

⚠️ 被修改

XMRig 挖矿程序

挖取门罗币(Monero)

❌ 恶意

WebBrowserPassView / Mipko Monitor

窃取浏览器密码、监控键盘

⚠️ 被滥用

攻击哲学
Librarian Ghouls 几乎不开发恶意代码,而是像搭积木一样拼接现有工具,规避杀毒软件检测,极大降低了开发和维护成本。

3. 持久化与隐蔽控制:定时“唤醒”电脑

这是本次攻击中最富创意的一环。

攻击者设置了两个关键定时任务:

  1. 每天凌晨1点唤醒电脑

    • 通过 PowerShell 脚本 wol.ps1 创建任务,调用 Microsoft Edge 浏览器启动;

    • Edge 本身未被篡改,但它的启动会唤醒处于睡眠状态的系统;

    • 攻击者借此获得一个4小时的远程操作窗口(1:00–5:00)。

  2. 每天早上5点自动关机

    • 创建名为 ShutdownAt5AM 的计划任务;

    • 防止用户发现电脑“自己开机”或持续高负载运行;

    • 掩盖挖矿和数据外传的痕迹。

这种“夜间作业、清晨收工”的模式,极难被普通用户察觉,堪称“数字小偷”的完美作案时间。

4. 数据窃取:精准 targeting 加密钱包与系统凭证

bat.bat 脚本执行后,会主动搜索并打包以下敏感信息:

  • 加密货币钱包文件:如 wallet.datkeystore.json

  • 钱包相关关键词文件:包含“кошельк”(钱包)、“seed”(助记词)、“bitcoin”、“usdt”等的文档;

  • 系统注册表备份:通过 reg save 命令导出 HKLM\SAMHKLM\SYSTEM,用于离线破解本地账户密码。

这些数据被打包成加密压缩包,通过 Blat 工具发送至攻击者控制的邮箱,完成数据外泄。

5. 挖矿部署:全自动安装 XMRig 矿机

在完成数据窃取后,攻击者会部署一个功能完整的挖矿系统:

  1. 下载 install.exe(矿机安装器);

  2. 获取配置文件 bm.json,包含矿池地址和攻击者钱包ID;

  3. 下载包含 XMRig 的压缩包,并解压至本地;

  4. 安装 bmcontrol.exe 控制器,实现:

    • 主进程(master)监控子进程(worker);

    • 子进程根据CPU、GPU、内存自动调整挖矿强度;

    • 每60秒向矿池发送心跳,确保持续挖矿。

最终,run.exe 被加入开机自启,实现持久化挖矿,而所有临时脚本则被删除,不留痕迹。

技术特点与战术分析

核心战术亮点:

特点

说明

依赖合法工具(Living-off-the-Land)

使用 AnyDesk、Blat、curl 等正常软件,绕过EDR检测

无自研恶意二进制

攻击逻辑由脚本(CMD/PS1)驱动,降低IOC提取难度

高度自动化

整个流程无需人工干预,适合大规模投放

时间规避策略

利用夜间唤醒机制,避开用户活动高峰

攻击目标画像:

  • 地域:俄罗斯、白俄罗斯、哈萨克斯坦为主;

  • 行业:工业制造、工程教育、政府关联单位;

  • 语言:所有钓鱼材料均为俄语,表明目标高度本地化

与中国网络安全的关联与警示

虽然目前没有证据显示 Librarian Ghouls 直接攻击中国大陆实体,但其战术对国内企业极具参考价值:

风险点:

  1. 合法软件滥用难以检测
    传统安全产品依赖“黑白名单”,但 AnyDeskcurlPowerShell 都是正常工具,行为异常才应被关注。

  2. 定时任务成后门新宠
    许多企业忽视对计划任务的审计,攻击者可借此实现持久化。

  3. 挖矿攻击转向隐蔽化
    不再是简单的CPU飙升,而是结合“睡眠唤醒”、低强度挖矿,长期榨取资源。

防御建议:如何应对这类“白利用”攻击?

措施

说明

禁用不必要的远程控制软件

如非必要,禁止员工安装 AnyDesk、TeamViewer 等工具

限制PowerShell和CMD的使用

通过AppLocker或Intune策略限制脚本执行

启用计划任务审计

监控异常任务创建,尤其是涉及唤醒、关机、浏览器启动的行为

部署EDR/XDR解决方案

检测脚本链式调用、Blat外发邮件、注册表导出等可疑行为

加强邮件网关过滤

拦截带密码压缩包的邮件,尤其是来自非可信域名的附件

定期检查DNS和SMTP日志

发现Blat等工具外联行为

个人用户建议:

  • 不打开来源不明的“.exe”或“.zip”附件;

  • 不随意运行自解压程序;

  • 定期检查“任务计划程序”中是否有陌生任务;

  • 使用杀毒软件并保持更新。

趋势洞察:APT攻击的“平民化”与“自动化”

Librarian Ghouls 的出现,标志着APT攻击正在发生深刻变化:

趋势

表现

从“精英化”到“平民化”

不需要高超编程能力,也能通过组合工具实施高级攻击

从“0day驱动”到“社会工程驱动”

更依赖钓鱼邮件和用户误操作

从“破坏性”到“经济性”

目标不再是情报窃取,而是直接变现(挖矿、勒索)

这类组织可能并非国家级APT,而更接近有组织的网络犯罪团伙,但其战术成熟度已不亚于传统APT。

结语

Librarian Ghouls 的攻击方式看似“粗糙”,实则极其高效且隐蔽。它提醒我们:

“真正的威胁,未必是复杂的0day漏洞,而可能是你电脑里那个“合法”的远程控制软件,正在凌晨悄悄唤醒你的机器,为黑客挖矿。”

面对这类“白加黑”攻击,我们必须从**“识别恶意文件”转向“监控异常行为”,构建以行为分析、日志审计和自动化响应**为核心的现代防御体系。

深度解析:Lazarus 组织“O...
深度解读:MysterySnail...

评论