Leek Likho тобы кибершабуылдарды нақты нысандарға бейімдеу үшін жасанды интеллектті қолдана бастады

2026 жылы Leek Likho хакерлерлер тобы негізінен мемлекеттік сектор ұйымдарына бағытталған кибершабуылдарда жасанды интеллектті пайдаланған. Бұл туралы «Касперский зертханасының» жаңа есебінде айтылды. Зиянды белсенділікке жүргізілген техникалық талдау шабуылдаушылардың үлкен тілдік модельдерді зиянды скрипттерді, өзге құралдарды және олардың атауларын әртүрлі нысандарға бейімдеу үшін қолдануы мүмкін екенін көрсетті.

Leek Likho туралы не белгілі. Топтың шабуыл науқандары 2025 жылдан бері белсенді әрі тұрақты түрде жалғасып келеді. Бұған олардың инфрақұрылымды, скрипттерді және зиянды бағдарламаларды жасыру тәсілдерін үнемі өзгертіп отыруы әсер еткен. Тактикалары жетілдірілгенімен, шабуылдардың жалпы схемасы өзгермеген: қаскөйлер әлеуметтік инженерияны, көпсатылы жүктеу әдістерін және rclone секілді заңды құралдарды қатар пайдаланады. Топтың басты ерекшеліктерінің бірі – басқару серверімен байланыс орнату үшін Tor және SSH технологияларын қолдануы.

Шабуыл қалай жүзеге асады. Қаскөйлер жүйеге қол жеткізу үшін әлі де Telegram мессенджеріндегі әлеуметтік инженерия тәсілдерін пайдаланады. Олар зиянды файлдарды заңды файл алмасу механизмдері ретінде көрсетеді. Мысалы, Telegram-дағы файл жүктеу парақшасына ұқсатып жасалған сілтемелер немесе кей жағдайларда Dropbox файл алмасу қызметіне апаратын сілтемелер жіберіледі. Мұндай сілтемелер арқылы құрылғыға зиянды архив жүктеледі.Архив ішінде қос кеңейтімі бар зиянды LNK-файл болады, мысалы: Proekt_prikaza_681_o_pooshchrenii.pdf.lnk. Алайда Windows жүйесінің стандартты архив ашу қосымшасы арқылы қарағанда, ол кәдімгі PDF құжаты сияқты көрінеді — мысалы, марапаттау немесе тағайындау туралы бұйрық ретінде. Сонымен қатар архивтің ішінде деректер базасымен жұмыс істеуге арналған танымал қосымшаларға ұқсатып жасырылған зиянды құралдары бар тағы бір архив орналасады. LNK-файл ашылғанда құрылғыда жұқтыру тізбегі іске қосады. Соның нәтижесінде құрылғыдағы мәліметтер жиналып, rclone сервисі арқылы шабуылдаушыларға жіберіледі. rclone — бұлтты қоймалармен жұмыс істеуге арналған заңды сервис.

Жасанды интеллект арқылы зиянды құралдарды жасау. Әрбір нысан үшін шабуылдаушылар жаңа атаумен жеке LNK-файл қолданады. Дегенмен файл атаулары арасындағы айырмашылық өте аз — көбіне тек «бұйрық» нөмірі өзгереді. Сонымен қатар екінші архивтің мазмұны да әр шабуыл сайын өзгеріп отырады: зиянды құралдарға танымал бағдарламалардың атауына ұқсас жаңа атаулар беріледі. Зиянды скрипттердің, яғни жұқтырылған құрылғыны басқаратын кодтардың құрылымы да өзгеріп отырады. Кей жағдайда бірдей әрекеттер әртүрлі тәсілмен орындалады немесе кодқа ешқандай әсер етпейтін артық операциялар қосылады. Мұның бәрі Leek Likho тобының зиянды скрипттер мен олардың атауларын генерациялау үшін жасанды интеллектті белсенді қолдануы мүмкін екенін көрсетеді.Осылайша топ зиянды бағдарламаларды анықтау тиімділігін төмендетуге және өз құралдарын жүйеден табуды қиындатуға тырысады.

Kaspersky Endpoint Detection and Response Expert секілді «Касперский зертханасының» қорғаныс шешімдері аталған зиянды белсенділікті сәтті анықтайды.

Leek Likho тобы туралы толық есеп Securelist.ruда жарияланған.

«Касперский зертханасының» сарапшылары Leek Likho тобының белсенділігін бақылауды жалғастырып келеді және осы киберқауіптен қорғану үшін ұйымдарға төмендегідей ұсынымдар береді:

• киберқауіпсіздік бөлімінің қызметкерлеріне шабуылдаушылардың жаңа тактикалары, әдістері мен әрекет ету сценарийлері туралы өзекті ақпаратқа қол жеткізу мүмкіндігін беру. Бұл үшін Threat Intelligence сервистерін пайдалануға болады;
• қауіпсіздіктің икемді әрі тиімді жүйесін қалыптастыруға мүмкіндік беретін Kaspersky Symphony сияқты кешенді қорғаныс шешімдерін енгізу;
• қызметкерлердің цифрлық сауаттылығын арттыру. Бұл бағытта арнайы курстар мен тренингтер көмектеседі. Мысалы, Kaspersky Automated Security Awareness Platform онлайн-платформасын қолдануға болады.