Armored Likho

Editors' Pick

A Kaspersky egy eddig nem dokumentált, Armored Likho, amely közepes bizonyossággal az Eagle Werewolf csoporthoz köthető, APT-kampányt azonosított, amely elsősorban oroszországi, kazahsztáni és brazíliai kormányzati szervezeteket, valamint a villamosenergia-ipart célozza. A támadások spear phishing e-mailekkel indulnak, amelyek pszichológiai tesztnek vagy humanitárius támogatási kérelemnek álcázott ZIP/RAR mellékleteket tartalmaznak. A fertőzés NSIS alapú EXE dropperrel vagy a ZDI-CAN-25373 LNK-technika kihasználásával kezdődik, majd GitHubról letöltött komponensekkel telepíti az új, Python-alapú BusySnake Stealer kártevőt. A kutatók szerint az első fázisú betöltők több esetben AI által generált kódot tartalmaznak, ami megnehezíti az attribúciót és a felismerést. 

A BusySnake Stealer erősen obfuszkált, saját Python 3.12 futtatókörnyezetet telepít, majd VBScript és Scheduled Task segítségével biztosít perzisztenciát. A malware jelszavakat, sütiket, dokumentumokat, képernyőképeket, vágólapadatokat, Telegram munkameneteket, OTP-titkokat és kriptovaluta-tárcákat lop, miközben a C2-től érkező Python-szkripteket képes memóriából futtatni, szükség esetén automatikusan telepítve azok függőségeit. Beépített reverse SSH tunneling funkciója a korábban különálló Go2Tunnel eszközt váltja ki, architektúrája pedig jelentős hasonlóságot mutat a csoport által korábban használt AquilaRAT-tal.

FORRÁS