В 2026 году группа хакеров Leek Likho использовала ИИ в кибератаках на организации, преимущественно из госсектора, сообщается в новом отчете «Лаборатории Касперского». Технический анализ вредоносной активности показал, что злоумышленники могут применять большие языковые модели для модификации вредоносных скриптов и других инструментов, а также их названий под разные цели.

Что известно о Leek Likho. Кампании группы остаются активными и устойчивыми с 2025 года за счёт постоянных изменений инфраструктуры, скриптов и методов маскировки вредоносного ПО. Несмотря на развитие тактик, общая схема атак остаётся прежней: злоумышленники делают основной упор на сочетании социальной инженерии, многоступенчатой загрузки и легитимных инструментов, таких как rclone. Особенность группы — использование Tor и SSH для соединения с управляющим сервером.

Как происходит атака. Злоумышленники по-прежнему получают доступ, используя схемы социальной инженерии в Telegram. Они маскируют доставку вредоносного содержимого под легитимные файлообменные механизмы, например ссылки, имитирующие страницы загрузки файлов в Telegram. В некоторых случаях присылают ссылку на файлообменник Dropbox. Переход по ним приводит к скачиванию вредоносного архива.  Внутри находится вредоносный LNK-файл с двойным расширением pdf.lnkнаподобие Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Однако при распаковке через стандартное приложение Windows он выглядит как обычный служебный PDF-документ, например приказ о поощрении или назначении. Там же содержится ещё один архив — с вредоносными инструментами, замаскированными под популярные приложения, в частности для работы с базами данных. Открытие LNK-файла запускает цепочку заражения, в ходе которой данные с устройства собираются и отправляются злоумышленникам с помощью rclone — легитимного сервиса для работы с облачными хранилищами.

Генерация вредоносных инструментов с помощью ИИ. Для каждой цели злоумышленники используют в качестве приманки отдельный файл-ярлык (LNK) с новым именем. Однако названия файлов отличаются незначительно: например, меняется только номер «приказа». В кибератаках отличается и содержимое второго архива: вредоносные инструменты в нём каждый раз получают новые имена, похожие на названия известных приложений. Вредоносные скрипты, то есть код, который управляет заражённой машиной, также варьируются. Например, иногда одни и те же действия выполняются по-разному, а в код могут добавляться лишние операции, которые ни на что не влияют. Всё это говорит о том, что Leek Likho может активно использовать ИИ для генерации как вредоносных скриптов, так и их названий. Подобным образом группа пытается снизить эффективность детектирования и усложнить поиск своих инструментов в системе.

Защитные решения «Лаборатории Касперского», такие как KasperskyEndpoint DetectionandResponse Expert, успешно обнаруживают данную вредоносную активность.

Подробный отчёт о группировке Leek Likho опубликован на Securelist.ru.

Эксперты «Лаборатории Касперского» продолжают отслеживать активность Leek Likho и для защиты от этой киберугрозы рекомендуют организациям:

●     предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов ThreatIntelligence;

●     применять комплексные защитные решения, такие как KasperskySymphony, которые позволят выстроить гибкую и эффективную систему безопасности;

●     обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на онлайн-платформе KasperskyAutomated SecurityAwarenessPlatform.

• Как выгодно купить керамзитобетон в Оренбурге: особенности, применение и критерии выбора
  Современное капитальное строительство требует использования надежных ма...
• Отличия сухих и масляных трансформаторов.
  Отличия сухих и масляных трансформаторов.
• Как узбекский Octobank выходит за пределы локального рынка и что это значит для стран СНГ
  В банковском секторе Узбекистана происходит процесс, который может быть инт...
• Ликвидное проектирование и брендинг: формула успеха в девелопменте
  Современный рынок недвижимости перестал быть рынком продавца. Сегодня п...
• Искусство ландшафтного проектирования: как создать сад мечты
  Создание гармоничного приусадебного участка — это сложный процесс, объе...
• Профессиональный подход к недвижимости: от стратегии до успешной сделки
  Рынок высоколиквидной недвижимости требует от брокера не просто посредн...
• «Доктора Кто» — сериал-легенда
  В истории мирового телевидения найдется немного проектов, способных пот...
• Музеи Казахстана присоединятся к международной инициативе TikTok в честь Дня музеев
  TikTok запускает международную программу Comes Alive, открывающую пользо...

Комментарии: