Купон на скидку: 2026
В 2026 году хакерская группа Leek Likho применила искусственный интеллект для кибератак на российские организации, преимущественно из государственного сектора, как сообщается в новом отчёте «Лаборатории Касперского». Технический анализ их вредоносной деятельности показал, что злоумышленники способны использовать большие языковые модели для изменения вредоносных скриптов и других инструментов, а также их названий под разные цели. Кампании группы остаются активными и устойчивыми с 2025 года благодаря постоянным изменениям инфраструктуры, скриптов и методов маскировки вредоносного ПО. Несмотря на развитие тактик, общая схема атак остаётся прежней: злоумышленники делают основной упор на сочетании социальной инженерии, многоступенчатой загрузки и легитимных инструментов, таких как rclone. Особенностью группы является использование Tor и SSH для соединения с управляющим сервером.
Злоумышленники продолжают получать доступ, используя схемы социальной инженерии в Telegram. Они маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например, ссылки, имитирующие страницы загрузки файлов в Telegram. В некоторых случаях они присылают ссылку на файлообменник Dropbox. Переход по этим ссылкам приводит к скачиванию вредоносного архива. Внутри находится вредоносный LNK-файл с двойным расширением pdf.lnk, например, Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Однако при распаковке через стандартное приложение Windows он выглядит как обычный служебный PDF-документ, например, приказ о поощрении или назначении. Там же содержится ещё один архив — с вредоносными инструментами, замаскированными под популярные приложения, в частности для работы с базами данных.
Открытие LNK-файла запускает цепочку заражения, в ходе которой данные с устройства собираются и отправляются злоумышленникам с помощью rclone — легитимного сервиса для работы с облачными хранилищами. Для каждой цели злоумышленники используют в качестве приманки отдельный файл-ярлык (LNK) с новым именем. Однако названия файлов отличаются незначительно: например, меняется только номер «приказа». В кибератаках отличается и содержимое второго архива: вредоносные инструменты в нём каждый раз получают новые имена, похожие на названия известных приложений. Вредоносные скрипты, то есть код, который управляет заражённой машиной, также варьируются. Например, иногда одни и те же действия выполняются по-разному, а в код могут добавляться лишние операции, которые ни на что не влияют.
Всё это говорит о том, что Leek Likho может активно использовать ИИ для генерации как вредоносных скриптов, так и их названий. Подобным образом группа пытается снизить эффективность детектирования и усложнить поиск своих инструментов в системе. Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, обнаруживают данную вредоносную активность. Подробный отчёт о группировке Leek Likho опубликован на Securelist.ru. Эксперты «Лаборатории Касперского» продолжают отслеживать активность Leek Likho и для защиты от этой киберугрозы рекомендуют организациям: предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например, с помощью сервисов Threat Intelligence; применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности; обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например, на онлайн-платформе Kaspersky Automated Security Awareness Platform.