Armored Likho атакует госструктуры и энергетику фишингом

Armored Likho: новая угроза для госструктур и энергетического сектора

Недавно выявленная хакерская группировка Armored Likho развернула масштабную фишинг-кампанию, нацеленную на государственные учреждения и предприятия электроэнергетики в России, Бразилии и Казахстане. Операции злоумышленников сочетают финансово мотивированные атаки против частных лиц с элементами сложного кибершпионажа. Центральным звеном арсенала выступает основанный на Python stealer BusySnake Stealer, сконструированный для кражи конфиденциальных данных и обхода динамического анализа.

Целевой фишинг и маскировка вредоносной нагрузки

Основной вектор проникновения — целевой фишинг. Письма содержат вложения, замаскированные под психологические тесты, гуманитарные заявки и другие легитимные документы. Как правило, это ZIP-архивы, внутри которых находятся исполняемые EXE-файлы или ярлыки LNK. В одной из зафиксированных схем используется самораспаковывающийся EXE. Он запускает поддельное приложение для отвлечения внимания, в то время как в фоне dropper записывает loader на диск и внедряет вредоносный код в память процесса, инициируя выполнение основного payload.

BusySnake Stealer: модульный инструмент кражи данных

Ключевой компонент кампании — stealer BusySnake Stealer, разработанный на Python 3.12 и объединяющий множество внешних зависимостей. Он обеспечивает закрепление в системе через запланированную задачу и оснащён механизмами самоуничтожения. Stealer применяет продвинутые техники уклонения: code obfuscation и шифрование времени выполнения с помощью PyArmor, что серьёзно затрудняет анализ.

Вредонос действует скрытно в фоновом режиме и автоматически собирает данные без ведома пользователя. После соединения с управляющим сервером (C2) он ожидает дальнейших команд, поддерживая постоянное присутствие на хосте. Ключевые функции включают:

  • Кража учётных данных из браузеров на базе Chromium — расшифровка сохранённых паролей через Windows Data Protection API.
  • Доступ к данным входа Firefox — эксплуатация небезопасных практик хранения паролей браузера.
  • Извлечение файлов cookie — SQL-запросы к базам данных cookie. При необходимости развёртывается дополнительный модуль для усиленного сбора данных через вредоносное расширение браузера.
  • Эксфильтрация содержимого буфера обмена, паролей и другой конфиденциальной информации.
  • Возможности reverse SSH tunneling — злоумышленники могут устанавливать постоянный удалённый доступ, используя фреймворк, ранее применявшийся в инструменте Go2Tunnel.

Последняя версия stealer’а демонстрирует повышенную операционную скрытность: создание задач планировщика выполняется через COM-объекты, а не стандартные системные вызовы, что снижает вероятность обнаружения.

Атрибуция и эволюция тактик

Связь с Armored Likho установлена на основе повторяющихся паттернов в операционных процедурах группировки. Архитектура и методы распространения BusySnake Stealer демонстрируют явное сходство с ранее развёрнутым инструментом AquilaRAT, указывая на последовательную эволюцию тактик, техник и процедур (TTPs). Группа остаётся крайне активной; подтверждённые жертвы, связанные с критической инфраструктурой в целевых странах, отражают сочетание оппортунистических финансовых атак и продуманных стратегий кибершпионажа.

Мониторинг и защитные меры

Исследователи продолжают мониторинг активности Armored Likho. Уже внедрены средства защиты, способные обнаруживать начальные векторы заражения — фишинговые письма с вредоносными вложениями — и последующие взаимодействия с C2-серверами, а также загрузку вредоносных модулей. Организациям из государственного и энергетического секторов рекомендуется усилить контроль за вложениями форматов ZIP и LNK, мониторить использование COM-объектов для создания подозрительных задач и анализировать аномалии в трафике, характерные для reverse SSH tunneling.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: