ArmoredLikhoAPT组织部署BusySnake窃取器攻击政府和电力部门目标

admin 2026-07-06 04:24:20 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 未被报道的APT组织ArmoredLikho针对多国政府与电力部门发起网络钓鱼攻击,通过恶意LNK和NSIS打包EXE进行初始访问。攻击者结合AI生成加载器与GitHub基础设施快速分发有效载荷,最终部署经PyArmor深度混淆的BusySnake窃取器。该窃取器具备RAT与隧道功能,通过计划任务持久化,能全面窃取浏览器凭证、Telegram会话及加密钱包等敏感数据。建议加强针对异常LNK文件、PowerShell执行链及可疑GitHub通信流量的监测与防御。 综合评分: 84 文章分类: 威胁情报,恶意软件,逆向分析,免杀


cover_image

Armored Likho APT组织部署BusySnake窃取器攻击政府和电力部门目标

原创

ZM ZM

暗镜

2026年7月5日 09:41 北京

在小说阅读器读本章

去阅读

个此前未被报道过的 APT 组织 Armored Likho(也以临时别名 Eagle Werewolf 进行追踪)发起的有针对性的网络钓鱼活动。

该组织的目标是俄罗斯、巴西和哈萨克斯坦的政府机构和电力部门,并展示了一套不断发展的工具包,该工具包融合了通用工具和定制工具,以支持以经济利益为目的的行动和有针对性的网络间谍活动。

攻击者主要通过带有压缩附件的社交工程攻击邮件进行初始访问。主要有两种传播模式:一种是利用 NSIS 构建的 EXE 文件投放器,另一种是利用 Windows 处理 .lnk 参数方式的恶意 LNK 快捷方式

EXE 变种通常会呈现诱饵(例如虚假的心理调查),同时提取并执行隐藏的加载程序。

该加载器会将代码注入到一个良性进程中,并按照自动化的、快速轮换的路径从 GitHub 代码库中检索已暂存的有效载荷包。这些代码库包含开发版本和测试样本,使攻击者能够快速迭代有效载荷并迁移基础设施。

其他攻击活动使用精心制作的 LNK 文件来隐藏执行参数(参见有关 ZDI-CAN-25373 LNK 相关披露的公开报道)。

Securelist 在一份与 GBhackers 分享的报告中称,此次攻击活动是一种新发现的基于 Python 的信息窃取程序 BusySnake Stealer,它还具备模块化 RAT 功能、网络隧道工具(特别是 Go2Tunnel)以及 AI 辅助的第一阶段有效载荷生成功能,这使得归因和检测变得更加复杂。

在一种攻击变体中,归档文件包含一个名为 dropper 的程序 psihologicheskiy_test.exe,这是一个使用 Nullsoft Scriptable Install System (NSIS) 构建的自解压归档文件。

执行该快捷方式会触发一个混淆的 PowerShell 链,该链会下载并运行相同的加载器系列,进而获取打包的 Python 3.12 运行时、受 PyArmor 保护的有效载荷归档文件以及 get-pip.py 来安装依赖项。

这两个向量都指向 BusySnake Stealer,该组织通过 VBScript 和计划任务将其持久部署,这些计划任务配置为每五分钟运行一次。

窃取程序在执行过程中会与C2服务器保持连接,等待接收指令。该 poll_task 函数会持续循环轮询C2服务器以获取新命令。

BusySnake Stealer 的设计兼顾隐蔽性和操作灵活性。它采用 PyArmor Pro 9.2.0 进行保护,其字节码仅在调用时动态解密,并在使用后重新加密。此外,其主有效载荷以 .pyw 文件形式运行,以避免在控制台窗口中显示。

对剥离样本的分析揭示了一种基于处理程序的架构:使用自定义锁定文件算法的单实例锁定;连续剪贴板收集。

对用户文件进行递归清点,并将其存入本地 SQLite 数据库,同时扫描 64 个字符的十六进制键;根据大小和路径过滤器选择性地提取文档;屏幕截图捕获和归档;以及持续的 C2 轮询循环。

窃取者的命令和控制交换使用简单的 HTTP GET 请求,带有类似浏览器的用户代理,并通过发送函数名称来指示受感染的主机。

可用的远程命令包括从 Chromium 和 Firefox 应用商店窃取完整的凭证和 cookie(包括 DPAPI/PK11 解密例程)、安装浏览器扩展程序以提取 cookie、通过剪贴板监控和文件解析抓取 OTP/密钥、Telegram 会话泄露、选择性钱包文件收集以及远程控制。

该团队采用了人工智能来生成第一阶段加载器,并在加载器源代码异常中生成冗长、充满表情符号的注释,这与 LLM 辅助开发一致。

结合多态性(多个 BusySnake 构建和以 cookie 为中心的模块)、使用公共代码托管进行快速有效载荷分发以及分层混淆,这标志着技术成熟度和规避复杂性的明显提升。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《Armored Likho APT组织部署BusySnake窃取器攻击政府和电力部门目标》

    多年后重新理解ATT&CK 网络安全文章

    多年后重新理解ATT&CK

    文章总结: 本文结合终端安全实战经验重新审视ATT&CK框架,指出其是从单点样本分析转向攻击链检测视角的指导地图。文章剖析凭据获取的核心地位,揭示终端安全、IA
    评论:0   参与:  0