これまで報告されていなかったAPTグループ「Armored Likho」(暫定的にEagle Werewolfとしても追跡されています)による、標的を絞ったフィッシングキャンペーンが確認されました。
同グループはロシア、ブラジル、カザフスタンの政府機関と電力セクターを標的としており、金銭目的の攻撃と標的型サイバースパイ活動の両方を支えるために、既成のツールと独自開発のツールを組み合わせた進化するツールキットを展開しています。
初期侵入は主に、アーカイブファイルを添付したスピアフィッシングメールによるソーシャルエンジニアリングを通じて行われます。配布パターンは主に2種類あり、NSISでビルドされたEXE型ドロッパーと、Windowsが.lnkパラメータを処理する仕組みを悪用する悪意あるLNKショートカットが繰り返し使用されています。
EXE型の亜種では、通常は偽の心理テストなどのおとりを表示しながら、裏で隠しローダーを展開・実行します。
そのローダーは正規プロセスにコードを注入し、GitHubリポジトリ上の自動生成された急速にローテーションするパスから、段階的に配置されたペイロードパッケージを取得します。リポジトリには開発版ビルドやテストサンプルが含まれており、攻撃者はペイロードを迅速に改良し、インフラを素早く切り替えることができます。
別のキャンペーンでは、実行パラメータを隠蔽するよう細工されたLNKファイルが使用されています(ZDI-CAN-25373のLNK関連の公開情報を参照)。
SecurelistがGBhackersと共有したレポートによると、今回のキャンペーンでは新たに確認されたPythonベースの情報窃取マルウェア「BusySnake Stealer」に加え、モジュール式RAT機能、ネットワークトンネリングツール(特にGo2Tunnel)、そして帰属特定や検出を困難にするAI支援による第一段階ペイロードの生成が組み合わされていることが明らかになっています。
ある攻撃の亜種では、アーカイブ内にpsihologicheskiy_test.exeという名前のドロッパーが含まれており、これはNullsoft Scriptable Install System(NSIS)で作成された自己解凍アーカイブです。
BusySnake Stealerマルウェア
ショートカットを実行すると難読化されたPowerShellのチェーンが起動し、同じローダーファミリーをダウンロード・実行します。このローダーはさらに、パッケージ化されたPython 3.12ランタイム、PyArmorで保護されたペイロードアーカイブ、依存関係をインストールするためのget-pip.pyを取得します。

両方の侵入経路は最終的にBusySnake Stealerへと集約され、同グループはVBScriptと、5分ごとに実行されるよう設定されたスケジュールタスクによって持続的に展開しています。
このスティーラーは実行中、C2サーバーとの接続を維持し、着信する指示を待ち受けます。poll_task関数は、新しいコマンドを求めて継続的にC2サーバーをポーリングし続けます。
BusySnake Stealerはステルス性と運用上の柔軟性を重視して設計されています。PyArmor Pro 9.2.0で保護されており、バイトコードは呼び出し時にのみ動的に復号され、使用後には再び暗号化されます。また、メインペイロードはコンソールウィンドウを表示しないよう.pywとして実行されます。
難読化解除されたサンプルの解析からは、ハンドラーベースのアーキテクチャが明らかになっています。独自のロックファイルアルゴリズムを用いたシングルインスタンスのロック機構、そして継続的なクリップボード収集機能を備えています。

ユーザーファイルをローカルのSQLiteデータベースへ再帰的に一覧化する一方で、64文字の16進数キーをスキャンします。さらに、サイズやパスによるフィルタ条件のもとで文書を選別して窃取し、スクリーンショットの撮影と保存を行い、C2への持続的なポーリングループを維持します。
このスティーラーのコマンド&コントロール通信は、ブラウザを模したUser-Agentを付与したシンプルなHTTP GETリクエストを使用し、関数名を送信することで侵害したホストに指示を出します。
利用可能なリモートコマンドには、ChromiumおよびFirefoxの保存領域からの認証情報・Cookieの完全窃取(DPAPI/PK11の復号処理を含む)、Cookie抽出用ブラウザ拡張機能のインストール、クリップボード監視やファイル解析によるOTP・鍵情報の収集、Telegramセッションの窃取、選択的なウォレットファイルの収集、リモート制御の補助などが含まれます。
また、この攻撃者はオンデマンドのリバースSSHトンネリングにも対応しているほか、RustDeskのインストールを操作して再入力された認証情報を収集することで、リモートセッションのキャプチャも行っています。
運用面で特に注目されるのは、同グループが第一段階のローダー生成にAIを採用している点です。ローダーのソースコードには、LLM支援による開発を示唆する冗長で絵文字を多用したコメントといった異常な特徴が見られます。
この特徴に加え、ポリモーフィズム(複数のBusySnakeビルドやCookie特化型モジュール)、迅速なペイロード配布のための公開コードホスティングサービスの利用、そして多層的な難読化を組み合わせていることは、技術的な成熟度と回避技術の高度化における明確な進展を示しています。
防御側は、メールゲートウェイの強化、マクロおよびLNKファイルの厳格な取り扱いポリシー、段階的に配置されるPythonランタイムやPyArmorの痕跡に対するエンドポイント検知、そしてスケジュールタスクや不審なGitHub取得パターンの監視を優先すべきです。
翻訳元: https://gbhackers.com/busysnake-stealer-malware/