Группа Armored Likho атакует госсектор и энергетику - «Новости»
- 14:30, 08-июл-2026
- Новости / Изображения / Преимущества стилей / Отступы и поля / Заработок / Самоучитель CSS / Вёрстка
- Dernck
- 0
Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, направленную на государственные организации и предприятия, работающие в сфере электроэнергетики. Атакующие рассылают целям фишинговые письма с психологическими тестами, заявлениями на гуманитарную помощь и другими приманками, а затем заражают Windows-системы новым стилером BusySnake.
Атаки группы зафиксированы в России, Казахстане и Бразилии. Исследователи со средней степенью уверенности связывают эту кампанию с ранее неизвестной группировкой Armored Likho, которая, судя по косвенным признакам, также известна как Eagle Werewolf. Отмечается, что помимо кибершпионажа группа проводит и финансово мотивированные атаки на частных пользователей.
Начальный вектор взлома зависит от выбранной хакерами легенды. Злоумышленники прикрепляют к письмам архивы с исполняемыми файлами или вредоносными ярлыками LNK, названия которых соответствуют теме сообщения. Так, в одном случае жертве предлагают запустить приложение с психологическим опросом, в другом — открыть документ об оформлении гуманитарной помощи или отсутствии задолженности.
Пока пользователь изучает приманку, загрузчик скачивает дополнительные компоненты и разворачивает в системе жертвы стилер BusySnake. Вредонос закрепляется в системе через запланированную задачу, которая запускает его каждые пять минут. В некоторых атаках хакеры также эксплуатировали проблему ярлыков ZDI-CAN-25373, позволяющую скрыть параметры запуска за пробелами и переносами строк.
BusySnake написан на Python и работает в фоновом режиме. Код BusySnake защищен при помощи PyArmor: байт-код функций расшифровывается только в момент вызова, а затем данные шифруются снова. При этом загрузчики первого этапа, судя по структуре кода, атакующие сгенерировали при помощи ИИ. На это указывают избыточные комментарии и эмодзи, которые редко встречаются в малвари, написанной вручную.
Пример конфигурации стилера
На зараженной машине стилер похищает данные из буфера обмена, делает скриншоты, собирает пользовательские документы, а также извлекает пароли и файлы cookie из Firefox и браузеров на базе Chromium. Кроме того, малварь ищет OTP-секреты, файлы криптовалютных кошельков и данные Telegram из директории tdata.
Также операторы малвари могут передавать ей дополнительные команды с управляющего сервера. В частности, BusySnake способен развернуть обратный SSH-туннель, установить RustDesk для удаленного управления системой и запускать произвольные Python-скрипты прямо в памяти. Исследователи отмечают, что обнаружили несколько версий вредоноса, а также отдельный модуль, который устанавливает специальное браузерное расширение для кражи cookie.
Связь обнаруженных атак с Armored Likho исследователи установили по сходству с прежними инструментами группы. К примеру, раньше хакеры использовали отдельную утилиту Go2Tunnel для создания обратных SSH-туннелей, а теперь встроили эту возможность в BusySnake. Кроме того, архитектура стилера напоминает троян AquilaRAT, так как оба вредоноса получают задачи от управляющего сервера, а выполнение осуществляется специальными обработчиками.
Исследователи предупреждают, что эта кампания по-прежнему активна. По данным специалистов, в настоящее время Armored Likho продолжает дорабатывать BusySnake, усложняет его обнаружение и экспериментирует с новыми способами доставки малвари.













Комментарии (0)