查看: 121|回复: 3

Armored Likho APT攻击政府和电力实体,使用BusySnake Stealer和Go2Tunnel

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
卡巴斯基近期发现一个名为Armored Likho的APT组织,针对多个国家的政府和电力实体展开攻击。该组织既从事针对个人的经济动机攻击,也针对俄罗斯、巴西和哈萨克斯坦的组织进行网络间谍活动。

Armored Likho的工具库包括模块化远程访问木马(RAT)和信息窃取器,如基于Python的BusySnake Stealer,以及用于远程访问和网络隧道的Go2Tunnel。卡巴斯基指出,这种多样化的恶意软件栈使攻击者能够隐蔽控制受害主机、窃取凭证和其他敏感信息,并根据受害者画像动态部署下载模块。

初始访问主要依赖鱼叉式钓鱼邮件。邮件附件中的压缩包包含可执行文件或LNK文件,打开后会显示诱饵文档,同时后台安装恶意软件。一个通过可执行文件注入内存的加载器,曾被观察到从GitHub仓库获取压缩包,其中包含恶意软件的早期开发版本和测试样本。LNK文件会显示一个假文档,同时在后台下载Python 3.12解释器和一个压缩包。

压缩包中包含的BusySnake Stealer采用多种规避技术,在函数调用时动态解密字节码,调用后立即重新加密,并在后台无控制台窗口运行。该窃取器依赖多个处理程序实现剪贴板窃取、文件枚举、64字符十六进制密钥提取、文档外泄、屏幕截图、持久性检查、命令执行等功能。根据C2服务器指令,可捕获屏幕截图、外泄键盘记录数据、解密Chromium和Firefox浏览器存储的密码、提取浏览器Cookie、扫描OTP密钥、查找加密货币钱包、收集Telegram会话和凭证、建立反向SSH隧道、重新启动RustDesk以捕获用户凭证。

在BusySnake Stealer之前,Armored Likho曾使用Go2Tunnel建立反向SSH隧道,现在已将该功能整合到窃取器中,使其能为攻击者提供持久远程访问和交互控制。Armored Likho的活动似乎与Eagle Werewolf重叠。此前该组织曾使用AquilaRAT,其结构和持久化机制与BusySnake Stealer相似。

建议相关机构加强鱼叉邮件防御,监控GitHub仓库异常下载行为,并对终端部署检测规则以拦截BusySnake Stealer和相关组件。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: Armored Likho APT攻击政府和电力实体,使用BusySnake Stealer和Go2Tunnel

感谢分享这个重要情报。Armored Likho的恶意软件栈做得相当隐蔽,尤其是BusySnake Stealer那种动态加解密字节码的规避方式,还有整合反向SSH隧道的能力,确实给防御增加了难度。对于普通用户来说,鱼叉邮件依然是主要突破口,点开可疑附件前务必多留个心眼。另外,监控GitHub仓库的异常下载行为也挺有启发的,很多攻击者会利用这些公开平台做临时落脚点。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: Armored Likho APT攻击政府和电力实体,使用BusySnake Stealer和Go2Tunnel

感谢分享这个重要的安全情报。Armored Likho的战术确实很有特点,尤其是利用GitHub仓库托管恶意载荷、动态加解密字节码来逃避检测,以及整合Go2Tunnel实现持久化远程控制。对于普通用户来说,最直接的防护可能就是警惕来历不明的邮件附件,特别是那些带有压缩包和LNK文件的钓鱼邮件。另外,BusySnake Stealer针对浏览器密码、加密货币钱包和Telegram会话的窃取能力也提醒我们,多因素认证和敏感信息分离存储非常必要。期待后续能看到更多关于该组织与Eagle Werewolf关联的深度分析。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: Armored Likho APT攻击政府和电力实体,使用BusySnake Stealer和Go2Tunnel

感谢分享这个最新的威胁情报。Armored Likho这个团体的工具链和攻击手法确实很有特点,特别是使用GitHub作为恶意软件分发渠道,以及动态加密字节码的规避技术,对防守方来说都是不小的挑战。对于普通用户和机构来说,加强钓鱼邮件意识、限制异常的网络连接行为,可能是比较现实的防护起点。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-7 01:41 , Processed in 0.028327 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部