Armored Likho атакует госструктуры и энергетику фишингом
Armored Likho: новая угроза для госструктур и энергетического сектора
Недавно выявленная хакерская группировка Armored Likho развернула масштабную фишинг-кампанию, нацеленную на государственные учреждения и предприятия электроэнергетики в России, Бразилии и Казахстане. Операции злоумышленников сочетают финансово мотивированные атаки против частных лиц с элементами сложного кибершпионажа. Центральным звеном арсенала выступает основанный на Python stealer BusySnake Stealer, сконструированный для кражи конфиденциальных данных и обхода динамического анализа.
Целевой фишинг и маскировка вредоносной нагрузки
Основной вектор проникновения — целевой фишинг. Письма содержат вложения, замаскированные под психологические тесты, гуманитарные заявки и другие легитимные документы. Как правило, это ZIP-архивы, внутри которых находятся исполняемые EXE-файлы или ярлыки LNK. В одной из зафиксированных схем используется самораспаковывающийся EXE. Он запускает поддельное приложение для отвлечения внимания, в то время как в фоне dropper записывает loader на диск и внедряет вредоносный код в память процесса, инициируя выполнение основного payload.
BusySnake Stealer: модульный инструмент кражи данных
Ключевой компонент кампании — stealer BusySnake Stealer, разработанный на Python 3.12 и объединяющий множество внешних зависимостей. Он обеспечивает закрепление в системе через запланированную задачу и оснащён механизмами самоуничтожения. Stealer применяет продвинутые техники уклонения: code obfuscation и шифрование времени выполнения с помощью PyArmor, что серьёзно затрудняет анализ.
Вредонос действует скрытно в фоновом режиме и автоматически собирает данные без ведома пользователя. После соединения с управляющим сервером (C2) он ожидает дальнейших команд, поддерживая постоянное присутствие на хосте. Ключевые функции включают:
- Кража учётных данных из браузеров на базе Chromium — расшифровка сохранённых паролей через Windows Data Protection API.
- Доступ к данным входа Firefox — эксплуатация небезопасных практик хранения паролей браузера.
- Извлечение файлов cookie — SQL-запросы к базам данных cookie. При необходимости развёртывается дополнительный модуль для усиленного сбора данных через вредоносное расширение браузера.
- Эксфильтрация содержимого буфера обмена, паролей и другой конфиденциальной информации.
- Возможности reverse SSH tunneling — злоумышленники могут устанавливать постоянный удалённый доступ, используя фреймворк, ранее применявшийся в инструменте Go2Tunnel.
Последняя версия stealer’а демонстрирует повышенную операционную скрытность: создание задач планировщика выполняется через COM-объекты, а не стандартные системные вызовы, что снижает вероятность обнаружения.
Атрибуция и эволюция тактик
Связь с Armored Likho установлена на основе повторяющихся паттернов в операционных процедурах группировки. Архитектура и методы распространения BusySnake Stealer демонстрируют явное сходство с ранее развёрнутым инструментом AquilaRAT, указывая на последовательную эволюцию тактик, техник и процедур (TTPs). Группа остаётся крайне активной; подтверждённые жертвы, связанные с критической инфраструктурой в целевых странах, отражают сочетание оппортунистических финансовых атак и продуманных стратегий кибершпионажа.
Мониторинг и защитные меры
Исследователи продолжают мониторинг активности Armored Likho. Уже внедрены средства защиты, способные обнаруживать начальные векторы заражения — фишинговые письма с вредоносными вложениями — и последующие взаимодействия с C2-серверами, а также загрузку вредоносных модулей. Организациям из государственного и энергетического секторов рекомендуется усилить контроль за вложениями форматов ZIP и LNK, мониторить использование COM-объектов для создания подозрительных задач и анализировать аномалии в трафике, характерные для reverse SSH tunneling.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



