Armored Likho uderza w sektor publiczny i energetykę z użyciem BusySnake Stealer - Security Bez Tabu

Armored Likho uderza w sektor publiczny i energetykę z użyciem BusySnake Stealer

Cybersecurity news

Wprowadzenie do problemu / definicja

Armored Likho to grupa zagrożeń powiązana z ukierunkowanymi kampaniami przeciwko instytucjom publicznym oraz organizacjom z sektora energetycznego. W najnowszych operacjach centralną rolę odgrywa BusySnake Stealer, modułowe złośliwe oprogramowanie dla systemów Windows, które łączy kradzież informacji z mechanizmami trwałości, obchodzenia detekcji i zdalnej obsługi zainfekowanego hosta.

To nie jest klasyczny infostealer działający w ograniczonym zakresie. BusySnake wpisuje się w model ataku wieloetapowego, w którym pojedyncza infekcja może prowadzić zarówno do wycieku danych, jak i do długotrwałej obecności napastnika w środowisku ofiary.

W skrócie

  • Kampanie przypisywane Armored Likho są wymierzone m.in. w podmioty rządowe i energetyczne.
  • Punkt wejścia stanowi spear phishing z użyciem fałszywych dokumentów i plików-wabików.
  • Łańcuch infekcji prowadzi do uruchomienia droppera, pobrania kolejnych komponentów i wdrożenia BusySnake Stealer.
  • Malware kradnie dokumenty, dane uwierzytelniające, cookies, sesje Telegrama oraz pliki portfeli kryptowalut.
  • Operatorzy wykorzystują także tunelowanie SSH i narzędzia zdalnego dostępu do działań poeksploatacyjnych.

Kontekst / historia

Badacze wskazują, że Armored Likho może częściowo pokrywać się z aktywnością klastra śledzonego wcześniej jako Eagle Werewolf. Już wcześniejsze operacje tej grupy były łączone z atakami na administrację, sektor obronny oraz podmioty związane z systemami bezzałogowymi. Charakterystyczne pozostawało użycie dropperów, trojanów zdalnego dostępu i narzędzi wspierających budowę tuneli SSH.

Obecna kampania pokazuje jednak wyraźny rozwój zaplecza technicznego. Oprócz wcześniej obserwowanych komponentów operatorzy wdrożyli nowy stealer napisany w Pythonie, a sam łańcuch dostarczenia stał się bardziej modularny i trudniejszy do analizy. Widać także dojrzalsze podejście do persistence, zarządzania zadaniami oraz maskowania logiki wykonywania złośliwego kodu.

Analiza techniczna

Atak zwykle rozpoczyna się od wiadomości phishingowej zawierającej archiwum RAR z plikiem wykonywalnym albo skrótem LNK. W scenariuszu z plikiem EXE użytkownik uruchamia dropper, który pobiera kolejne elementy zestawu narzędzi. Następnie tworzone są skrypty VBScript odpowiedzialne za usuwanie śladów oraz konfigurację trwałości z użyciem harmonogramu zadań.

W wariancie opartym na LNK wykorzystywany jest mechanizm uruchamiania zaciemnionych poleceń PowerShell. Taki skrót może jednocześnie wyświetlić dokument-wabik i przygotować system do uruchomienia kolejnego etapu infekcji. Według opisu kampanii w części przypadków wykorzystywano również wektor związany z wcześniej załataną podatnością CVE-2025-9491 dotyczącą obsługi skrótów w Windows.

BusySnake Stealer został zaprojektowany tak, aby utrudniać analizę statyczną i dynamiczną. Wybrane funkcje oraz fragmenty kodu są odszyfrowywane dopiero w momencie wykonania, a następnie ponownie szyfrowane. Taki model zmniejsza widoczność istotnej logiki malware podczas analizy i utrudnia tworzenie prostych sygnatur detekcyjnych.

Zakres funkcji złośliwego oprogramowania jest szeroki i wykracza poza typową kradzież haseł. BusySnake może działać jako narzędzie do eksfiltracji, nadzoru nad aktywnością użytkownika oraz utrzymania dostępu do systemu.

  • przechwytywanie danych ze schowka,
  • enumeracja plików i zapisywanie metadanych,
  • kradzież dokumentów użytkownika,
  • wykonywanie zrzutów ekranu,
  • rejestrowanie naciśnięć klawiszy,
  • pozyskiwanie cookies i zapisanych haseł z przeglądarek Firefox oraz Chromium,
  • kradzież danych sesyjnych Telegrama,
  • pozyskiwanie plików portfeli kryptowalut,
  • odtwarzanie persistence przez VBScript i Scheduled Tasks,
  • zestawianie odwróconego tunelu SSH,
  • uruchamianie lub instalowanie RustDesk do dalszej zdalnej obsługi.

Na uwagę zasługuje także rozwój architektury sterowania malware. Nowsze warianty BusySnake mają framework zarządzania zadaniami, który porządkuje polecenia z serwera dowodzenia według statusów wykonania. To sugeruje większą dojrzałość operacyjną i lepszą kontrolę nad przebiegiem kampanii po stronie operatorów.

Badacze zauważyli również, że część loaderów i stagerów mogła zostać wygenerowana z pomocą narzędzi AI. Wskazują na to powtarzalne bloki kodu i nadmiarowe komentarze. Nie zmienia to zasadniczo poziomu zagrożenia, ale pokazuje, że automatyzacja może skracać czas przygotowania komponentów pomocniczych.

Konsekwencje / ryzyko

Z punktu widzenia obrońców kampania jest szczególnie niebezpieczna, ponieważ łączy kilka klas zagrożeń w jednym łańcuchu operacyjnym. BusySnake nie tylko wykrada informacje, ale może też zapewnić napastnikom trwały dostęp i kanał komunikacji pozwalający rozwijać atak w kolejnych etapach.

W organizacjach publicznych i energetycznych ryzyko obejmuje zarówno utratę poufnych dokumentów, jak i możliwość przejęcia aktywnych sesji w usługach biznesowych, komunikatorach lub aplikacjach administracyjnych. Kradzież cookies, zapisanych haseł i artefaktów sesyjnych może osłabić skuteczność zabezpieczeń opartych wyłącznie na haśle.

Szczególnie narażone są środowiska, w których użytkownicy regularnie otwierają zewnętrzne dokumenty, działają z podwyższonymi uprawnieniami lub nie są objęci ścisłym monitoringiem skryptów, harmonogramu zadań i ruchu wychodzącego. Dodatkowym problemem jest możliwość wykorzystania RustDesk i tuneli SSH do działań poeksploatacyjnych, które mogą pozostać niezauważone w mniej dojrzałych środowiskach SOC.

Rekomendacje

Organizacje powinny traktować tę kampanię jako przykład zagrożenia wielowarstwowego, wymagającego ochrony na poziomie poczty, endpointów, tożsamości i ruchu sieciowego. Kluczowe znaczenie ma zarówno prewencja, jak i szybkie wykrywanie nietypowych sekwencji działań po stronie stacji roboczych.

  • wzmocnić ochronę poczty przed spear phishingiem i analizować załączniki EXE, LNK, VBS oraz polecenia PowerShell,
  • potwierdzić wdrożenie aktualizacji Windows, zwłaszcza poprawek związanych z CVE-2025-9491,
  • monitorować tworzenie i modyfikacje Scheduled Tasks,
  • śledzić uruchomienia procesów takich jak wscript.exe, cscript.exe, powershell.exe oraz nietypowych interpreterów Pythona,
  • wykrywać podejrzane połączenia wychodzące i tunele SSH z hostów użytkowników końcowych,
  • ograniczyć użycie narzędzi zdalnego dostępu, takich jak RustDesk, wyłącznie do autoryzowanych przypadków,
  • wdrożyć detekcję prób kradzieży danych z przeglądarek, schowka i katalogów dokumentów,
  • prowadzić hunting pod kątem VBScriptów i artefaktów pobierania payloadów z zewnętrznych repozytoriów,
  • stosować segmentację sieci i zasadę najmniejszych uprawnień,
  • włączyć MFA odporne na przejęcie sesji oraz wymuszać ponowną autoryzację po wykryciu anomalii,
  • zaktualizować playbooki reagowania o scenariusze obejmujące jednocześnie eksfiltrację, zdalny dostęp i tunelowanie.

W środowiskach podwyższonego ryzyka warto dodatkowo analizować pamięć oraz telemetrię EDR pod kątem procesów działających bez widocznego okna, niestandardowych rozszerzeń skryptów i łańcucha zdarzeń prowadzącego od phishingu do utrwalenia obecności napastnika.

Podsumowanie

Armored Likho pokazuje, że współczesne kampanie przeciwko sektorowi publicznemu i infrastrukturze krytycznej coraz częściej łączą cyberwywiad z technikami typowymi dla cyberprzestępczości nastawionej na zysk. BusySnake Stealer pełni rolę znacznie szerszą niż zwykłe narzędzie do kradzieży danych, ponieważ wspiera persistence, eksfiltrację, zdalny dostęp i obchodzenie detekcji.

Dla zespołów bezpieczeństwa oznacza to konieczność szybkiego łatania systemów Windows, ścisłej kontroli skryptów i skrótów, monitorowania harmonogramu zadań oraz wykrywania anomalii w ruchu wychodzącym i użyciu narzędzi zdalnego dostępu. Skuteczna obrona wymaga tu połączenia widoczności na endpointach z aktywnym huntingiem i dyscypliną operacyjną po stronie użytkowników.

Źródła

  1. https://thehackernews.com/2026/07/armored-likho-targets-government.html
  2. https://www.kaspersky.ru/about/press-releases/prilozhenie-primanku-pod-vidom-psihologicheskogo-testa-ispolzuyut-dlya-kiberatak-na-gossektor-i-energetiku
  3. https://bi-zone.medium.com/unholy-trinity-werewolves-target-law-enforcers-f28357945280
  4. https://petri.com/microsoft-patches-windows-lnk-zero-day/
  5. https://www.techrepublic.com/article/news-microsoft-fixes-security-flaw/