Armored Likho rozwija kampanię APT z użyciem malware wspieranego przez AI - Security Bez Tabu

Armored Likho rozwija kampanię APT z użyciem malware wspieranego przez AI

Cybersecurity news

Wprowadzenie do problemu / definicja

Armored Likho to nowo opisana grupa APT prowadząca ukierunkowane kampanie przeciwko instytucjom rządowym oraz organizacjom z sektora elektroenergetycznego. Najnowsze analizy wskazują, że operatorzy wykorzystują złośliwe komponenty, których cechy mogą sugerować wsparcie modeli językowych przy tworzeniu pierwszych etapów infekcji.

Z perspektywy obrony to ważny sygnał ostrzegawczy. Automatyzacja przygotowania loaderów i elementów inicjalnych może przyspieszać modyfikowanie kodu, utrudniać detekcję opartą na sygnaturach i zwiększać tempo rozwoju kolejnych wariantów ataku.

W skrócie

Kampania przypisywana Armored Likho opiera się głównie na spear-phishingu z wykorzystaniem załączników EXE oraz LNK. Po uruchomieniu przynęty ofiara otrzymuje pozornie wiarygodny dokument, podczas gdy w tle aktywowany jest loader odpowiedzialny za pobranie następnych komponentów z infrastruktury atakującego.

Głównym ładunkiem pozostaje BusySnake Stealer, wielofunkcyjny infostealer napisany w Pythonie. Malware kradnie hasła, cookies, dane z Telegrama, kody i sekrety uwierzytelniające, pliki portfeli kryptowalut oraz potrafi zestawiać tunel reverse SSH, zapewniając operatorom głębszy dostęp do przejętego systemu.

  • wektor wejścia: spear-phishing z archiwami zawierającymi EXE lub LNK,
  • główny malware: BusySnake Stealer,
  • cel: kradzież poświadczeń, dokumentów i aktywnych sesji,
  • dodatkowe możliwości: trwałość, eksfiltracja danych i reverse SSH tunneling.

Kontekst / historia

Armored Likho, znane również jako Eagle Werewolf, łączy cechy kampanii cyberprzestępczych nastawionych na zysk z działaniami o charakterze szpiegowskim. Taki model operacyjny wyróżnia grupę na tle klasycznych aktorów APT, ponieważ obejmuje zarówno cele indywidualne, jak i organizacje posiadające wysoką wartość wywiadowczą.

W analizowanych incydentach ofiary znajdowały się między innymi w Rosji, Kazachstanie i Brazylii. Szczególne zainteresowanie budziły podmioty administracji publicznej oraz sektor energetyczny. Badacze powiązali BusySnake Stealer z wcześniejszymi aktywnościami grupy, w tym z użyciem AquilaRAT oraz narzędzi tunelujących, co sugeruje stopniową ewolucję arsenału zamiast jednorazowej operacji.

Analiza techniczna

Łańcuch ataku rozpoczyna się od wiadomości spear-phishingowej. Przynęty nawiązują do tematów urzędowych, pomocy humanitarnej, wniosków formalnych lub dokumentów psychologicznych. Załączniki są dostarczane jako archiwa zawierające pliki wykonywalne albo skróty LNK.

W wariancie z plikiem EXE uruchamiany jest samorozpakowujący pakiet, który wyświetla ofierze dokument-wabik, a równolegle ładuje złośliwy komponent do legalnego procesu działającego w pamięci. Następnie pobierane są kolejne archiwa i pliki robocze, zwykle zapisywane w katalogach profilu użytkownika.

W scenariuszu z plikiem LNK operatorzy ukrywają parametry wykonania w polu polecenia skrótu. Użytkownik widzi niegroźny dokument, natomiast w tle uruchamiany jest PowerShell odpowiedzialny za pobranie loadera. W kolejnych etapach malware dociąga interpreter Python 3.12, narzędzia instalacyjne oraz właściwy ładunek BusySnake Stealer.

Największą uwagę badaczy zwrócił loader pierwszego etapu. W próbkach zauważono nietypową stylistykę kodu, rozbudowane komentarze i cechy charakterystyczne dla fragmentów przygotowanych automatycznie, co sugeruje możliwe wykorzystanie narzędzi AI do tworzenia części złośliwego oprogramowania.

BusySnake Stealer jest chroniony przy użyciu mechanizmów obfuskacji, w tym PyArmor Pro. Kod odszyfrowuje się dopiero podczas wykonania określonych funkcji, a następnie ponownie ulega zaszyfrowaniu. Taki model znacząco utrudnia analizę statyczną i ogranicza widoczność logiki malware w pamięci procesu.

Funkcjonalnie BusySnake Stealer realizuje szeroki zestaw działań:

  • monitoruje schowek i zapisuje nowe treści wraz ze znacznikami czasu,
  • buduje lokalną bazę SQLite z metadanymi plików,
  • wyszukuje ciągi przypominające klucze lub sekrety API,
  • automatycznie eksfiltruje wybrane dokumenty z katalogów użytkownika,
  • kradnie hasła z przeglądarek Chromium z użyciem DPAPI,
  • odszyfrowuje dane Firefoksa z wykorzystaniem biblioteki NSS i plików profilu,
  • przechwytuje cookies oraz aktywne sesje przeglądarkowe,
  • pozyskuje dane Telegram Desktop, w tym pliki sesyjne,
  • zbiera informacje o portfelach kryptowalut i sekretach OTP,
  • może wdrażać dodatkowe moduły wspierające przejęcie sesji i dalszą eksfiltrację.

Mechanizm trwałości opiera się na skryptach VBScript i zadaniach harmonogramu. W nowszych wariantach operatorzy porzucili bezpośrednie wywołania schtasks na rzecz interakcji z usługą harmonogramu przez interfejs COM, co ma znaczenie z punktu widzenia detekcji behawioralnej.

Istotnym elementem kampanii jest również reverse SSH tunneling. BusySnake Stealer może pobierać z serwera C2 parametry tunelu, klucz prywatny i polecenie inicjalizujące połączenie, a następnie ustanawiać trwały kanał zwrotny do zainfekowanego hosta. To daje operatorom bardziej interaktywny dostęp po skutecznej kompromitacji.

Konsekwencje / ryzyko

Ryzyko związane z kampanią Armored Likho jest wysokie, zwłaszcza dla administracji publicznej oraz organizacji z obszaru infrastruktury krytycznej. BusySnake Stealer nie ogranicza się do kradzieży pojedynczych haseł, lecz działa jako rozbudowana platforma do zbierania danych, utrzymywania dostępu i rozszerzania zasięgu operacji.

  • utrata poświadczeń do przeglądarek, usług internetowych i narzędzi administracyjnych,
  • przejęcie aktywnych sesji dzięki kradzieży cookies,
  • wyciek dokumentów roboczych i danych operacyjnych,
  • naruszenie poufności komunikacji prowadzonej przez Telegram,
  • utrzymanie zdalnego dostępu przez tunel reverse SSH,
  • utrudniona detekcja z powodu obfuskacji, etapowania oraz zmian w TTP.

Dodatkowym problemem jest prawdopodobne użycie AI do generowania wczesnych komponentów ataku. Taki model może obniżać koszt przygotowania nowych próbek i zwiększać ich różnorodność, co osłabia skuteczność klasycznych mechanizmów wykrywania opartych na podobieństwie kodu.

Rekomendacje

Organizacje powinny traktować tę kampanię jako połączenie phishingu, kradzieży poświadczeń oraz trwałego zdalnego dostępu. W praktyce warto wdrożyć wielowarstwowe środki ochrony obejmujące pocztę, endpointy, przeglądarki i monitorowanie ruchu wychodzącego.

  • wzmocnić ochronę poczty elektronicznej i sandboxing załączników, szczególnie archiwów z EXE i LNK,
  • ograniczyć uruchamianie PowerShell, VBScript oraz interpretera Python na stacjach roboczych, jeśli nie są niezbędne,
  • monitorować tworzenie zadań harmonogramu również przez interfejsy COM,
  • wykrywać procesy uruchamiane z katalogów AppData i innych nietypowych ścieżek użytkownika,
  • inspekować dostęp do baz przeglądarek, artefaktów Firefoksa i plików Telegram Desktop,
  • analizować długotrwałe połączenia wychodzące, które mogą wskazywać na reverse SSH tunneling,
  • wymuszać MFA odporne na phishing tam, gdzie to możliwe,
  • prowadzić threat hunting pod kątem nietypowych rozszerzeń przeglądarek i lokalnych usług HTTP,
  • aktualizować reguły EDR i SIEM o detekcje związane z LNK abuse, PowerShellem i podejrzanymi łańcuchami uruchomień,
  • rozszerzyć szkolenia użytkowników o rozpoznawanie przynęt związanych z dokumentami urzędowymi i socjotechniką dopasowaną do roli ofiary.

Podsumowanie

Armored Likho pokazuje, że współczesne kampanie APT coraz częściej łączą klasyczny spear-phishing z modularnym malware, zaawansowaną obfuskacją i elastycznym podejściem do utrzymywania dostępu. BusySnake Stealer stanowi rozbudowane narzędzie do kradzieży poświadczeń, danych użytkownika i aktywnych sesji, a możliwość zestawiania tunelu reverse SSH znacząco zwiększa potencjał działań po kompromitacji.

Najważniejszym wnioskiem pozostaje jednak możliwa rola AI w przygotowywaniu początkowych elementów ataku. Jeśli ten trend się utrzyma, zespoły bezpieczeństwa będą musiały jeszcze silniej opierać detekcję na analizie zachowań, korelacji telemetrii i pełnym kontekście łańcucha ataku, a nie wyłącznie na statycznych wskaźnikach kompromitacji.

Źródła

  1. Security Affairs — https://securityaffairs.com/194854/apt/ai-generated-malware-powers-new-armored-likho-apt-campaign.html
  2. Securelist — Armored Likho digging a snake pit: inside the covert BusySnake Stealer campaign — https://securelist.com/tr/armored-likho-apt-with-busysnake-stealer/120292/