Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

В эфире — прогнозы Киберпогоды. Представим новую платформу прогнозирования атак 17 июня

Обычная ссылка в чате. Госслужащие в России и Беларуси сами отдают свои документы хакерам

9283
Leek Likho Kaspersky Telegram Dropbox Tor rclone фишинг
Обычная ссылка в чате. Госслужащие в России и Беларуси сами отдают свои документы хакерам
Leek Likho Kaspersky Telegram Dropbox Tor rclone фишинг

«Лаборатория Касперского» показала, как Leek Likho превращает невнимательность пользователей в идеальную точку входа.

image

Хакерская группа Leek Likho продолжает кампанию по охоте за документами в организациях госсектора России и Беларуси. По данным Kaspersky, активность продолжалась с февраля по апрель 2026 года и развивает операцию SkyCloak, о которой стало известно годом ранее. Главная цель атакующих не изменилась: незаметно закрепиться на компьютере, открыть скрытый канал связи и вывести интересующие файлы.

Первичный доступ строится вокруг Telegram и поддельных ссылок на загрузку документов. Иногда злоумышленники используют Dropbox, чтобы ссылка выглядела привычнее. Жертва скачивает архив, внутри которого встроенное средство Windows показывает файл как обычный PDF. В стороннем архиваторе, например 7-Zip, видна настоящая природа вложения: ярлык с двойным расширением «.pdf.lnk» и иконкой PDF-документа.

После запуска ярлыка срабатывает PowerShell-цепочка. Первый компонент, названный в отчёте LeekSower, ищет исходный архив, распаковывает скрытую папку и переносит набор инструментов в каталоги внутри AppData. Среди них находятся переименованные версии Tor, OpenSSH, SFTP, SSH и PDF-приманка. Затем запускается LeekGerminator, который проверяет среду: на компьютере должно быть больше 10 недавних LNK-файлов и больше 50 процессов. Такой фильтр помогает отсечь песочницы и тестовые системы.

Если проверки пройдены, LeekGerminator открывает документ-приманку, удаляет часть следов и создаёт скрытые задачи в планировщике Windows. Через них при входе пользователя запускаются Tor и OpenSSH, замаскированные под обычные приложения. Для скрытности используется conhost в режиме без окна, а Tor настраивается с obfs4 и мостами, что затрудняет выявление трафика сетевыми средствами.

После установки связи с командным центром оператор получает доступ к заражённой системе и переносит rclone, переименованный под безобидный файл. Новый инструмент LeekYield ищет подключённые USB-накопители, копирует с них свежие данные во временную папку и передаёт собранные файлы через S3-совместимый канал по созданному туннелю.

Kaspersky также обращает внимание на необычную вариативность вредоносных файлов. Для разных жертв меняются имена приманок, переменные, служебные строки и отдельные фрагменты PowerShell-кода. Авторы отчёта считают, что такие признаки могут указывать на применение ИИ для генерации уникальных сборок. Логика атаки при этом остаётся прежней, а постоянные мелкие отличия затрудняют поиск повторяющихся индикаторов Leek Likho.