
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Armored Likho to nowo opisana grupa APT prowadząca operacje wymierzone w instytucje rządowe oraz podmioty z sektora elektroenergetycznego. Kampania zwraca uwagę połączeniem klasycznych technik spear-phishingu, modułowego złośliwego oprogramowania oraz funkcji typowych zarówno dla działań szpiegowskich, jak i motywowanych finansowo.
Tego rodzaju aktywność stanowi poważne zagrożenie dla organizacji infrastruktury krytycznej, ponieważ łączy kradzież informacji, trwały dostęp do systemów i możliwość zdalnej interakcji z przejętymi hostami. W praktyce oznacza to, że pozornie prosty incydent pocztowy może szybko przerodzić się w długofalowe naruszenie bezpieczeństwa.
W skrócie
Armored Likho prowadzi kampanie przeciwko organizacjom rządowym i energetycznym w wielu krajach. Atakujący wykorzystują głównie spear-phishing z archiwami zawierającymi pliki wykonywalne lub skróty LNK, a po uruchomieniu ofiara widzi dokument-przynętę, podczas gdy w tle instalowane są komponenty malware.
- Główny wektor wejścia to wiadomości phishingowe z archiwami i plikami LNK.
- W kampanii wykorzystywany jest modułowy zestaw narzędzi, w tym stealer BusySnake napisany w Pythonie.
- Malware umożliwia kradzież haseł, cookies, danych z przeglądarek, sesji komunikatorów i kluczy OTP.
- Atakujący mogą wykonywać polecenia z serwera C2 i zestawiać tunele reverse SSH.
- Kampania wykazuje podobieństwa do wcześniejszej aktywności wiązanej z Eagle Werewolf.
Kontekst / historia
Z opublikowanych ustaleń wynika, że Armored Likho realizuje dwa równoległe cele operacyjne: klasyczne cyberszpiegostwo przeciwko organizacjom oraz działania nastawione na zysk przeciwko użytkownikom indywidualnym. Zaobserwowane ofiary obejmowały podmioty działające w Rosji, Brazylii i Kazachstanie, co wskazuje na szeroki zasięg geograficzny oraz elastyczny dobór celów.
Na uwagę zasługuje również ewolucja wykorzystywanego arsenału. Wcześniej grupa miała używać komponentu Go2Tunnel do zestawiania tunelu reverse SSH, jednak obecnie funkcjonalność ta została włączona bezpośrednio do stealera BusySnake. Taka integracja sugeruje dojrzewanie łańcucha infekcji i lepsze powiązanie poszczególnych etapów operacji w jeden spójny zestaw narzędzi.
Badacze wskazują także na podobieństwa do aktywności przypisywanej Eagle Werewolf, w tym do wcześniej obserwowanego AquilaRAT. To może oznaczać wspólne inspiracje techniczne, współdzielenie narzędzi lub częściowe nakładanie się infrastruktury i metod działania.
Analiza techniczna
Punktem wejścia do środowiska ofiary jest najczęściej wiadomość spear-phishingowa. Załączone archiwa zawierają pliki wykonywalne albo skróty LNK. Mechanizm infekcji został zaprojektowany w taki sposób, aby ograniczyć podejrzenia użytkownika: po otwarciu uruchamiany jest wabik w postaci fałszywego dokumentu, a w tle rozpoczyna się pobieranie i instalacja złośliwych komponentów.
W jednym z opisanych scenariuszy loader działający w pamięci pobierał archiwa z repozytoriów wykorzystywanych do przechowywania wczesnych buildów oraz próbek testowych malware. W wariancie z plikami LNK infekcja obejmowała pobranie interpretera Python 3.12 oraz archiwum zawierającego kolejne elementy łańcucha ataku. Takie podejście utrudnia detekcję, ponieważ część funkcji jest dostarczana dopiero po uruchomieniu początkowego komponentu.
Centralnym elementem kampanii jest BusySnake Stealer, czyli infostealer napisany w Pythonie. Oprogramowanie wykorzystuje techniki unikania analizy, w tym dynamiczne odszyfrowywanie bajtkodu podczas wywołania funkcji oraz jego ponowne szyfrowanie zaraz po użyciu. Dodatkowo działa bez widocznego okna konsoli, co zmniejsza szansę na zauważenie infekcji przez użytkownika końcowego.
Zakres funkcji BusySnake jest szeroki i wskazuje na architekturę modułową. Malware potrafi kraść zawartość schowka, enumerować pliki, wyszukiwać 64-znakowe klucze szesnastkowe, eksfiltrować dokumenty, wykonywać zrzuty ekranu, archiwizować screenshoty, sprawdzać mechanizmy persistence oraz uruchamiać polecenia systemowe.
Po otrzymaniu instrukcji z serwera C2 stealer może również:
- przechwytywać logi klawiszy,
- odszyfrowywać zapisane hasła z przeglądarek opartych na Chromium i z Firefoksa,
- wyciągać cookies i dane sesyjne,
- wyszukiwać klucze jednorazowe OTP,
- lokalizować portfele kryptowalutowe,
- kraść sesje i poświadczenia Telegrama,
- zestawiać reverse SSH tunnel,
- restartować RustDesk w celu pozyskania danych uwierzytelniających użytkowników.
Z perspektywy obronnej szczególnie groźne jest połączenie funkcji stealera z mechanizmami zapewniającymi trwały i interaktywny dostęp. Gdy malware nie ogranicza się do jednorazowej kradzieży danych, lecz umożliwia operatorowi późniejsze sterowanie hostem, incydent staje się pełnoskalowym naruszeniem bezpieczeństwa.
Konsekwencje / ryzyko
Dla organizacji rządowych i firm energetycznych ryzyko ma charakter wielowarstwowy. Na poziomie operacyjnym dochodzi do utraty poświadczeń, dokumentów i danych sesyjnych, co może prowadzić do dalszego ruchu bocznego, przejęcia kont uprzywilejowanych oraz eskalacji ataku na kolejne segmenty środowiska.
Szczególnie niebezpieczne są skutki pośrednie. Kradzież cookies, sesji komunikatorów i danych z przeglądarek ułatwia obejście części mechanizmów kontroli dostępu. Pozyskanie kluczy OTP oraz zapisanych haseł zwiększa skuteczność przejęcia kont nawet tam, gdzie wdrożono podstawowe zabezpieczenia wieloskładnikowe.
Z kolei tunel reverse SSH może zostać wykorzystany do ukrytego dostępu administracyjnego, obchodzenia segmentacji i przygotowania dalszych etapów operacji. W środowiskach infrastruktury krytycznej oznacza to możliwość długotrwałej obecności przeciwnika w sieci oraz budowania przyczółka do kolejnych działań rozpoznawczych lub sabotażowych.
W sektorze przemysłowym i energetycznym incydent tego typu należy analizować także pod kątem ryzyka dla OT. Nawet jeśli pierwotny wektor dotyczy systemów biurowych IT, obecność operatora APT w sieci korporacyjnej może otworzyć drogę do rozpoznania infrastruktury, kradzieży dokumentacji technicznej, mapowania połączeń z siecią produkcyjną oraz przygotowania operacji wpływających na ciągłość działania.
Rekomendacje
Organizacje powinny w pierwszej kolejności wzmocnić zabezpieczenia poczty elektronicznej i filtrowanie załączników archiwalnych, plików wykonywalnych oraz skrótów LNK. Wysokim priorytetem powinno być także blokowanie uruchamiania nieautoryzowanych interpreterów oraz ograniczenie możliwości pobierania komponentów z zewnętrznych repozytoriów bez uzasadnienia biznesowego.
Niezbędne jest wdrożenie monitoringu behawioralnego pod kątem nietypowego uruchamiania Pythona, tworzenia procesów potomnych przez LNK, komunikacji z infrastrukturą C2, wykonywania screenshotów, dostępu do magazynów haseł przeglądarek oraz prób tworzenia tuneli reverse SSH. Warto również objąć zwiększoną obserwacją narzędzia zdalnego dostępu, zwłaszcza przypadki ich restartowania lub uruchamiania z nietypowego kontekstu.
- segmentacja środowisk IT i OT oraz ścisła kontrola połączeń między nimi,
- wymuszenie MFA odpornego na phishing tam, gdzie to możliwe,
- regularna rotacja poświadczeń uprzywilejowanych i przegląd aktywnych sesji,
- ograniczenie przechowywania haseł w przeglądarkach,
- centralne logowanie zdarzeń z endpointów, serwerów i poczty,
- testy świadomości użytkowników w zakresie spear-phishingu,
- wykorzystanie EDR/XDR do wykrywania technik living-off-the-land i anomalii procesowych,
- plan reagowania obejmujący szybkie odcięcie hosta, reset poświadczeń i analizę ruchu wychodzącego.
W przypadku organizacji z sektorów regulowanych i infrastruktury krytycznej warto przeprowadzić również threat hunting ukierunkowany na artefakty związane z kradzieżą danych z przeglądarek, Telegrama, klienta RustDesk oraz na ślady użycia tuneli SSH zestawianych z hostów użytkowników końcowych.
Podsumowanie
Armored Likho to przykład współczesnej kampanii APT, w której granica między cyberszpiegostwem a motywacją finansową staje się coraz mniej wyraźna. Grupa wykorzystuje dobrze znane techniki phishingowe, ale łączy je z elastycznym, modułowym malware umożliwiającym zarówno kradzież danych, jak i utrzymanie trwałego dostępu do systemów ofiar.
Dla sektora publicznego i energetycznego najważniejszy wniosek jest prosty: nawet pozornie standardowy incydent phishingowy może w rzeczywistości stanowić początek długotrwałej operacji rozpoznawczo-szpiegowskiej. Skuteczna obrona wymaga więc nie tylko ochrony skrzynki pocztowej, ale także głębokiej widoczności na endpointach, kontroli ruchu wychodzącego i szybkiego reagowania na symptomy kradzieży poświadczeń oraz zdalnego dostępu.
Źródła
- SecurityWeek — Armored Likho APT Targeting Government, Electric Power Entities — https://www.securityweek.com/armored-likho-apt-targeting-government-electric-power-entities/
- Securelist — Armored Likho — https://securelist.com/