Armored Likho 使用 BusySnake 窃取器攻击政府机构和电力部门

导语:卡巴斯基披露了一个名为 Armored Likho 的此前未被记录的网络威胁组织,该组织使用包括 BusySnake 窃取器在内的多种工具,针对俄罗斯、巴西和哈萨克斯坦的政府机构及电力部门发起定向网络攻击,与 BI.ZONE 追踪的 Eagle Werewolf 存在显著重叠。
一个此前未被记录的威胁组织 Armored Likho(装甲利霍)被归因于针对俄罗斯、巴西和哈萨克斯坦的政府机构及电力部门发起的网络攻击。
卡巴斯基在今天发布的技术分析中表示:”Armored Likho 将针对个人的经济利益驱动型活动与针对组织的定向网络间谍活动结合起来。他们的工具集包含经过混淆的、模块化的远程访问木马(RAT)和信息窃取器,专门设计用于绕过动态分析。”
这些攻击的特征还包括使用 Go2Tunnel 等工具进行远程访问和网络隧道传输。其武器库中种类繁多的工具使该威胁组织能够维持对受感染主机的持续访问、窃取凭据和敏感数据,并根据受害者档案动态交付定制化模块。
这家俄罗斯网络安全厂商指出,Armored Likho 与 BI.ZONE 以 Eagle Werewolf(鹰狼人)代号追踪的威胁集群可能存在关联,该集群自 2023 年 5 月以来一直活跃。该黑客组织有着针对政府和国防组织(特别是参与无人机研发和制造的组织)的攻击记录,使用投放器、远程访问木马(RAT)以及用于建立 SSH 隧道的实用工具。
BI.ZONE 在对该威胁组织的描述中指出:”威胁组织可能使用已被攻陷的 Telegram 频道来分发恶意软件。虽然该组织的主要动机是网络间谍活动,但也已记录到针对受害者的资金窃取行动。”
早在 2026 年 2 月,据观察 Eagle Werewolf 攻陷了一个以无人机为主题的 Telegram 频道,使用一个伪装成 Starlink 设备激活检查清单的 Rust 投放器分发 AquilaRAT。其攻击中还使用了一个被称为 Go2Tunnel 的工具,通过私钥建立到命令与控制(C2)服务器的反向 SSH 隧道。
攻击链的起点是一封鱼叉式钓鱼电子邮件,该邮件使用与官方政府通知或社会项目相关的诱饵来分发一个 RAR 压缩包,其中包含作为投放器的 EXE 二进制文件,用于从 GitHub 仓库检索其他有效载荷,包括窃取器有效载荷。
投放器恶意软件还会创建两个 Visual Basic 脚本(VBScript)文件,负责清除初次执行的痕迹以及通过计划任务启动窃取器。
替代攻击链使用 Windows 快捷方式(LNK)而非 EXE 有效载荷,利用了一个现已修补的与 Windows 处理此类文件方式相关的漏洞,从而导致远程代码执行。该漏洞编号为 CVE-2025-9491(又名 ZDI-CAN-25373),由微软在 2025 年 11 月的补丁星期二更新中得到解决。趋势科技去年披露的证据显示,自 2017 年以来已有十几个黑客组织将该漏洞武器化。
在卡巴斯基记录的这条攻击链中,快捷方式漏洞被利用来触发一条经过混淆的 PowerShell 命令的执行,该命令会启动一个负责显示诱饵文档的加载器,同时为执行 Python 窃取器准备环境。恶意软件随后通过 VBScript 文件和计划任务的组合建立持久化访问,与之前相同。
被称为 BusySnake 的窃取器实现了多种规避技术,以增加静态分析的难度并躲避检测。其主要目标是与 C2 服务器建立通信,然后等待传入的指令。它还支持以下功能——
如果机器上已经安装了 RustDesk(一款开源远程桌面软件),则会启动该软件,并提示受害者输入其凭据,随后窃取器会截取凭据的屏幕截图并将其外传到 C2 服务器。
卡巴斯基表示:”恶意软件仅在调用函数的精确时刻动态解密其字节码,然后立即重新加密数据。此外,恶意软件在后台运行,不生成控制台窗口,如其 PYW 文件扩展名所表明的那样。”
卡巴斯基表示,他们还识别出了 BusySnake 的一个新版本,它在原有架构设计的基础上进行了迭代,包含一个新的任务管理框架,用于处理传入的 C2 命令并动态为其分配操作状态,如 SCHEDULED(已计划)、IN_PROGRESS(进行中)、SUCCEEDED(成功)或 FAILED(失败),以便更好地向服务器回报。
该威胁组织与 Eagle Werewolf 的联系还源于 AquilaRAT 和 BusySnake 窃取器之间的重叠,特别是这两个恶意软件家族从 C2 服务器接收任务、通过计划任务注册持久化访问,以及使用类似端点进行 C2 通信的方式。
还有迹象表明,包含加载器和暂存加载器的第一阶段有效载荷可能是在人工智能(AI)工具的协助下生成的,理由是其中存在冗余的注释和代码块。
卡巴斯基表示:”此次行动凸显了几个并行趋势:Armored Likho 日益增长的技术成熟度、工具的多态性,以及转向更复杂方案以绕过安全解决方案的趋势——从 Python 源代码混淆到将网络机制直接嵌入恶意软件代码。”
“与此同时,该组织正在积极完善和修改其核心工具集。虽然 Go2Tunnel 之前作为独立实用工具运行,但其反向隧道功能现在已作为内置功能直接集成到窃取器中,从 C2 服务器获取参数。”
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/armored-likho-targets-government.html
作者:info@thehackernews.com (The Hacker News)

