HackerNews

HackerNews
Armored Likho 以 BusySnake Stealer 攻击政府机构和电力行业

Armored Likho 以 BusySnake Stealer 攻击政府机构和电力行业

给文章评分:

一个此前未被记录的名为 Armored Likho 的威胁行为者被认定与针对俄罗斯、巴西和哈萨克斯坦的政府机构和电力行业的网络攻击有关。
Kaspersky 在今天发布的技术分析中表示:"Armored Likho 将针对个人的经济利益驱动型活动与针对组织的定向网络间谍活动相结合。他们的工具包包含混淆的模块化 RAT 和信息窃取器,专门设计用于绕过动态分析。"
这些攻击的特点还包括使用 Go2Tunnel 等工具进行远程访问和网络隧道。其武器库中种类繁多的工具使威胁行为者能够保持对受感染主机的持久访问、窃取凭证和敏感数据,并根据受害者档案动态投递定制模块。
这家俄罗斯网络安全供应商表示,Armored Likho 与 BI.ZONE 以 Eagle Werewolf 为代号追踪的一个威胁集群可能存在重叠,该集群自 2023 年 5 月以来一直活跃。该黑客组织有攻击政府和国防组织的记录,特别是那些涉及无人机开发和制造的组织,使用 dropper、远程访问木马以及用于建立 SSH 隧道的工具。
BI.ZONE 在其对该威胁行为者的描述中指出:"威胁行为者可能利用被入侵的 Telegram 频道来分发恶意软件。虽然该组织的主要动机是网络间谍活动,但也记录到以窃取受害者资金为目的的活动。"
早在 2026 年 2 月,Eagle Werewolf 就被观察到入侵了一个专注于无人机的 Telegram 频道,通过一个伪装成 Starlink 设备激活清单的 Rust dropper 分发 AquilaRAT。其攻击中还使用了一个名为 Go2Tunnel 的工具,利用私钥建立到命令与控制服务器的反向 SSH 隧道。

最新发现表明,该威胁行为者还使用了一个此前未报告的基于 Python 的信息窃取器 BusySnake Stealer,针对 Windows 系统,其中一个版本包含用于从 Web 浏览器窃取 Cookie 的模块。Armored Likho 的确切来源仍然未知。
攻击链的起点是一封鱼叉式钓鱼邮件,使用与官方政府通知或社会项目相关的诱饵,分发包含 EXE 二进制文件的 RAR 归档文件,这些 EXE 作为 dropper,从 GitHub 仓库检索额外的载荷,包括窃取器载荷。
Dropper 恶意软件还会创建两个 VBScript 文件,负责清除初始执行的痕迹,以及通过计划任务启动窃取器。
其他攻击链使用 Windows 快捷方式替代 EXE 载荷,利用了一个现已修补的漏洞(与 Windows 处理此类文件的方式有关),导致远程代码执行。该漏洞被追踪为 CVE-2025-9491(又名 ZDI-CAN-25373),微软在 2025 年 11 月的 Patch Tuesday 更新中进行了修复。Trend Micro 去年发现的证据表明,自 2017 年以来,该漏洞已被十几个黑客组织武器化。
在 Kaspersky 记录的这条攻击链中,快捷方式漏洞被滥用以触发执行混淆的 PowerShell 命令,该命令启动一个加载器,负责显示诱饵文档,同时为 Python 窃取器的执行准备环境。然后,恶意软件通过 VBScript 文件和计划任务的组合建立持久性,与之前相同。
名为 BusySnake 的窃取器实现了多种规避技术,以增加静态分析的难度并躲避检测。其主要目标是建立与 C2 服务器的通信,然后等待传入指令。它还支持以下功能:

  • 从系统剪贴板窃取数据。
  • 枚举系统中的文件并将其元数据记录在本地数据库中。
  • 将用户文档上传到 C2 服务器。
  • 捕获屏幕截图并将其暂存到本地目录。
  • 归档捕获的屏幕截图并删除磁盘上先前创建的归档文件。
  • 防止窃取器在受感染主机上同时运行多个实例。
  • 通过检查计划任务是否存在来确保持久性,如果不存在,则释放 VBScript 以注册新的计划任务。


此外,C2 服务器发出的命令允许它以指定间隔截取屏幕截图、记录键盘数据、收集具有 JSON 扩展名的加密货币钱包文件、收集 Telegram 会话和凭证数据、使用 Go2Tunnel 建立反向 SSH 隧道、安装 RustDesk,以及从 Mozilla Firefox 和 Chromium 内核浏览器中提取 Cookie 和密码。
如果机器上已安装 RustDesk,该开源远程桌面软件将被启动,并提示受害者输入其凭证,随后窃取器会截取凭证的屏幕截图并将其外泄到 C2 服务器。
Kaspersky 表示:"恶意软件仅在函数被调用的确切时刻动态解密其字节码,之后立即重新加密数据。此外,恶意软件在后台运行而不产生控制台窗口,如其 PYW 文件扩展名所示。"
Kaspersky 表示,它还发现了一个更新版本的 BusySnake,它在先前版本的架构设计基础上进行了迭代,包含一个新的任务管理框架,用于处理传入的 C2 命令并动态分配其操作状态,如 SCHEDULED、IN_PROGRESS、SUCCEEDED 或 FAILED,以改进向服务器的报告。
该威胁行为者与 Eagle Werewolf 的关联还源于 AquilaRAT 和 BusySnake Stealer 之间的重叠,特别是在两个恶意软件家族从 C2 服务器接收任务、通过计划任务注册持久性以及使用类似端点进行 C2 通信的方式上。
还有迹象表明,包含加载器和 stager 的第一阶段载荷可能是在人工智能工具的辅助下生成的,因为存在冗余的注释和代码块。
Kaspersky 表示:"这次活动凸显了几个并行的趋势:Armored Likho 日益成熟的技术能力、工具的多态性,以及向更复杂方案(旨在绕过安全解决方案)的转变——从 Python 源代码混淆到将网络机制直接嵌入恶意软件代码。"
"与此同时,该组织正在积极改进和修改其核心工具包。虽然 Go2Tunnel 之前作为独立工具运行,但其反向隧道功能现在已作为内置功能直接集成到窃取器中,从 C2 服务器获取参数。"



消息来源:thehackernews.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介