BusySnake Stealerは、これまで報告されていなかったPythonベースの情報窃取マルウェアで、新興のAPTグループであるArmored Likho(別名Eagle Werewolf)として当社が追跡している脅威アクターによって実際に展開されています。
そのモジュール型設計、ステルス性の高いランタイム保護機能、そして自動化された第一段階ローダーの使用は、金銭目的の窃取行為と、ロシア、ブラジル、カザフスタンの電力セクターをはじめとする政府機関や重要インフラを狙った標的型スパイ活動を組み合わせた脅威アクターの存在を示しています。
感染は、政府機関の通知やヒューマニタリアン関連の書式を装った説得力のあるスピアフィッシングの誘い文句から始まります。これらはアーカイブ形式で配布され、NSISで作成されたEXE形式のドロッパー、あるいは武器化されたLNKショートカットのいずれかを含んでいます。
EXE版は、一見正規に見えるヘルパーバイナリを展開し、コードを注入してローダーを実行させ、攻撃者が管理するGitHubリポジトリから段階的なアーカイブを取得します。
LNK版は、既知のショートカット処理の欠陥を悪用して実行パラメータを隠蔽し、難読化されたPowerShellのチェーンを起動することで同じローダーを取得します。
どちらの感染経路も、組み込みのPython 3.12ランタイム、PyArmorで保護されたバイトコード、そして自動化されたpipインストールを展開し、BusySnakeのペイロードを実行する環境を整えます。
Securelistによると、BusySnakeの保護機能は注目に値します。作成者はPyArmor Proを使ってバイトコードを暗号化し、関数が呼び出された際にのみ復号され、直後に再び暗号化される「オンコール復号」を実装しています。これにより静的解析やサンドボックスによる検知が困難になっています。
このスティーラーは.pywのバックグラウンドプロセスとして動作し、コンソールを表示しないためユーザーに気づかれにくくなっています。
このマルウェアは、非標準的なロックファイルのアルゴリズムを使って単一インスタンスでの実行を強制した上で、複数のバックグラウンドハンドラーを生成します。これらはそれぞれ、クリップボードの窃取、ファイルシステムの棚卸しと優先度の高い文書の窃取、スクリーンショットの取得とアーカイブ化、コマンド&コントロール(C2)エンドポイントへの継続的なポーリングといった個別のタスクを実行します。
技術的な機能は、攻撃者の目的に直結しています。パスワード抽出処理は、Chromiumベースのブラウザからは Windows DPAPIを使って、FirefoxからはPK11SDR_Decrypt呼び出しを使って認証情報を復号します。
Telegramの情報収集は徹底しています。BusySnakeはAPPDATA/Telegram Desktop/tdataの格納場所を特定し、ファイルの整合性を確保するためにTelegramを強制終了させた上で、セッションファイルを準備・圧縮し、アーカイブをC2へ送信します。これにより、パスワードなしでアカウントを乗っ取ることが可能になります。
poll_task関数は、新しいコマンドを求めて継続的なループでC2サーバーをポーリングします。以下は典型的なリクエストパケットの抜粋です。
このスティーラーはさらに、秘密鍵と一致する64文字の16進数文字列がないかファイルをスキャンし、ウォレットのJSONファイルを検索し、otpauth:// URIが検出された場合はOTPシークレットを記録します。これは主にクリップボードの内容を監視することで行われます。
この一連のキャンペーンには、近年のトレンドがいくつも見られます。多態性を持つツールチェーン、ローダー内での自動化されたコード生成(TTPを難読化するためのLLM支援コードの痕跡を含む)、そして動的なペイロード配布のための公開アーティファクトホスティングサービスの利用です。
Armored Likhoは、BusySnakeに加えて、トンネリング用のGo2Tunnelや、RustDeskのインストール、必要に応じて作成されるリバースSSHプロキシといったリモートアクセス機能などの補助ツールも併用しています。
C2プロトコルは単純かつ持続的で、定期的なGETリクエストによってクライアント識別子を送信し、実行すべき関数名を取得します。これにより、柔軟でリモートから指示可能なタスク割り当てが実現されています。
運用面から見ると、このグループの標的選定パターンとインフラのローテーションは、広範な認証情報窃取と、高価値セクターに対する標的型偵察を組み合わせることに慣れた敵対者の存在を示しています。
防御側は、異常なNSISインストーラー、不審なLNK実行チェーン、%APPDATAディレクトリ配下に段階的に配置されるPythonランタイム(例:WindowsHelper)、そして5分ごとにVBScriptランチャーを実行するスケジュールタスクの検知を優先すべきです。
BusySnakeの痕跡を発見したインシデント対応担当者は、認証情報とセッションが侵害されたものとみなし、帯域外の再認証を伴う全面的なパスワードリセットを実施し、Telegramセッションを無効化した上で、追加のリモートアクセス実装や情報流出の痕跡がないかエンドポイントを調査する必要があります。
翻訳元: https://cyberpress.org/busysnake-stealer-malware/