Группа Armored Likho атакует госсектор и энергетику - «Новости»

  • 14:30, 08-июл-2026
  • Новости / Изображения / Преимущества стилей / Отступы и поля / Заработок / Самоучитель CSS / Вёрстка
  • Dernck
  • 0

Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, направленную на государственные организации и предприятия, работающие в сфере электроэнергетики. Атакующие рассылают целям фишинговые письма с психологическими тестами, заявлениями на гуманитарную помощь и другими приманками, а затем заражают Windows-системы новым стилером BusySnake.


Атаки группы зафиксированы в России, Казахстане и Бразилии. Исследователи со средней степенью уверенности связывают эту кампанию с ранее неизвестной группировкой Armored Likho, которая, судя по косвенным признакам, также известна как Eagle Werewolf. Отмечается, что помимо кибершпионажа группа проводит и финансово мотивированные атаки на частных пользователей.


Начальный вектор взлома зависит от выбранной хакерами легенды. Злоумышленники прикрепляют к письмам архивы с исполняемыми файлами или вредоносными ярлыками LNK, названия которых соответствуют теме сообщения. Так, в одном случае жертве предлагают запустить приложение с психологическим опросом, в другом — открыть документ об оформлении гуманитарной помощи или отсутствии задолженности.


Пока пользователь изучает приманку, загрузчик скачивает дополнительные компоненты и разворачивает в системе жертвы стилер BusySnake. Вредонос закрепляется в системе через запланированную задачу, которая запускает его каждые пять минут. В некоторых атаках хакеры также эксплуатировали проблему ярлыков ZDI-CAN-25373, позволяющую скрыть параметры запуска за пробелами и переносами строк.


BusySnake написан на Python и работает в фоновом режиме. Код BusySnake защищен при помощи PyArmor: байт-код функций расшифровывается только в момент вызова, а затем данные шифруются снова. При этом загрузчики первого этапа, судя по структуре кода, атакующие сгенерировали при помощи ИИ. На это указывают избыточные комментарии и эмодзи, которые редко встречаются в малвари, написанной вручную.



Пример конфигурации стилера

На зараженной машине стилер похищает данные из буфера обмена, делает скриншоты, собирает пользовательские документы, а также извлекает пароли и файлы cookie из Firefox и браузеров на базе Chromium. Кроме того, малварь ищет OTP-секреты, файлы криптовалютных кошельков и данные Telegram из директории tdata.


Также операторы малвари могут передавать ей дополнительные команды с управляющего сервера. В частности, BusySnake способен развернуть обратный SSH-туннель, установить RustDesk для удаленного управления системой и запускать произвольные Python-скрипты прямо в памяти. Исследователи отмечают, что обнаружили несколько версий вредоноса, а также отдельный модуль, который устанавливает специальное браузерное расширение для кражи cookie.


Связь обнаруженных атак с Armored Likho исследователи установили по сходству с прежними инструментами группы. К примеру, раньше хакеры использовали отдельную утилиту Go2Tunnel для создания обратных SSH-туннелей, а теперь встроили эту возможность в BusySnake. Кроме того, архитектура стилера напоминает троян AquilaRAT, так как оба вредоноса получают задачи от управляющего сервера, а выполнение осуществляется специальными обработчиками.


Исследователи предупреждают, что эта кампания по-прежнему активна. По данным специалистов, в настоящее время Armored Likho продолжает дорабатывать BusySnake, усложняет его обнаружение и экспериментирует с новыми способами доставки малвари.


Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, направленную на государственные организации и предприятия, работающие в сфере электроэнергетики. Атакующие рассылают целям фишинговые письма с психологическими тестами, заявлениями на гуманитарную помощь и другими приманками, а затем заражают Windows-системы новым стилером BusySnake. Атаки группы зафиксированы в России, Казахстане и Бразилии. Исследователи со средней степенью уверенности связывают эту кампанию с ранее неизвестной группировкой Armored Likho, которая, судя по косвенным признакам, также известна как Eagle Werewolf. Отмечается, что помимо кибершпионажа группа проводит и финансово мотивированные атаки на частных пользователей. Начальный вектор взлома зависит от выбранной хакерами легенды. Злоумышленники прикрепляют к письмам архивы с исполняемыми файлами или вредоносными ярлыками LNK, названия которых соответствуют теме сообщения. Так, в одном случае жертве предлагают запустить приложение с психологическим опросом, в другом — открыть документ об оформлении гуманитарной помощи или отсутствии задолженности. Пока пользователь изучает приманку, загрузчик скачивает дополнительные компоненты и разворачивает в системе жертвы стилер BusySnake. Вредонос закрепляется в системе через запланированную задачу, которая запускает его каждые пять минут. В некоторых атаках хакеры также эксплуатировали проблему ярлыков ZDI-CAN-25373, позволяющую скрыть параметры запуска за пробелами и переносами строк. BusySnake написан на Python и работает в фоновом режиме. Код BusySnake защищен при помощи PyArmor: байт-код функций расшифровывается только в момент вызова, а затем данные шифруются снова. При этом загрузчики первого этапа, судя по структуре кода, атакующие сгенерировали при помощи ИИ. На это указывают избыточные комментарии и эмодзи, которые редко встречаются в малвари, написанной вручную. Пример конфигурации стилера На зараженной машине стилер похищает данные из буфера обмена, делает скриншоты, собирает пользовательские документы, а также извлекает пароли и файлы cookie из Firefox и браузеров на базе Chromium. Кроме того, малварь ищет OTP-секреты, файлы криптовалютных кошельков и данные Telegram из директории tdata. Также операторы малвари могут передавать ей дополнительные команды с управляющего сервера. В частности, BusySnake способен развернуть обратный SSH-туннель, установить RustDesk для удаленного управления системой и запускать произвольные Python-скрипты прямо в памяти. Исследователи отмечают, что обнаружили несколько версий вредоноса, а также отдельный модуль, который устанавливает специальное браузерное расширение для кражи cookie. Связь обнаруженных атак с Armored Likho исследователи установили по сходству с прежними инструментами группы. К примеру, раньше хакеры использовали отдельную утилиту Go2Tunnel для создания обратных SSH-туннелей, а теперь встроили эту возможность в BusySnake. Кроме того, архитектура стилера напоминает троян AquilaRAT, так как оба вредоноса получают задачи от управляющего сервера, а выполнение осуществляется специальными обработчиками. Исследователи предупреждают, что эта кампания по-прежнему активна. По данным специалистов, в настоящее время Armored Likho продолжает дорабатывать BusySnake, усложняет его обнаружение и экспериментирует с новыми способами доставки малвари.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!