Armored Likhoとして追跡されている新たに特定された脅威グループが、状況証拠に基づきEagle Werewolfとしても知られていますが、フィッシング攻撃と新種のPythonベースの情報窃取マルウェア「BusySnake Stealer」を使い、政府機関や電力事業者を標的にしています。
このキャンペーンはロシア、ブラジル、カザフスタンの標的に影響を及ぼしており、同グループの活動範囲と技術的な成熟度が拡大していることを浮き彫りにしています。
研究者らによると、Armored Likhoは個人を狙った金銭目的の活動と、組織を狙ったサイバースパイ活動を組み合わせているとのことです。
同グループのツールキットには、難読化されたリモートアクセス型トロイの木馬、認証情報窃取ツール、リバーストンネリングユーティリティ、そして侵害した各システムに合わせて調整可能なダウンロード式モジュールが含まれています。
攻撃は、政府通知、心理テスト、人道支援申請、社会保障プログラムの書類を装ったスピアフィッシングメールから始まります。
これらのメールには、実行可能ファイルまたは悪意のあるWindowsショートカットファイルを含むZIPまたはRARアーカイブが添付されています。
ある感染経路では、NSIS自己解凍実行ファイルがおとりの心理アンケートを表示する一方、裏で正規プロセスを起動して悪意のあるローダーを注入します。
このローダーは、Python 3.12ランタイム、PyArmorのコンポーネント、依存関係インストールスクリプト、BusySnakeのペイロードを含むアーカイブをGitHubリポジトリから取得します。
BusySnakeはPyArmor Proで保護されており、.pywファイルとして実行されるため、コンソールウィンドウを表示せずに動作します。このマルウェアは必要なときにのみコードを復号し、その後再び暗号化するため、静的解析・動的解析の双方を困難にしています。
この情報窃取マルウェアは、クリップボードの内容の収集、スクリーンショットの撮影、ファイルの棚卸し、暗号資産の鍵やAPIシークレットを示す可能性のある64文字の16進数文字列の特定、さらにデスクトップ・ドキュメント・ダウンロードの各フォルダから選択したファイルを窃取する機能を備えています。
また、ローカルデータベースを維持してスキャン済みファイルを記録し、同じコンテンツを繰り返し処理しないようにしています。
Windows DPAPIを利用してChromiumの暗号化キーを復元するほか、マスターパスワードによる保護がない場合はFirefoxのNSS暗号化関数を使って保存済みの認証情報を復号すると、securelistは述べています。
このマルウェアはさらに、二要素認証のシークレット、暗号資産ウォレットファイル、Telegram Desktopのセッションデータ、RustDeskの認証情報も探索できます。
この機能は攻撃者が制御するインフラから秘密鍵と接続設定を受け取ることで、侵害済みホストへのリモートアクセスを可能にし、Go2Tunnelのような単体ツールへの依存を減らしています。
Kasperskyは、Armored Likhoの過去のGo2Tunnel関連の活動、AquilaRAT形式のタスク処理、スケジュールタスクによる永続化パターンとの重複を根拠に、中程度の確信度でこの攻撃を同グループに帰属させています。
組織はフィッシング耐性の強化を優先し、PowerShellの悪用を制限し、新規のスケジュールタスクを監視するとともに、不審なPythonランタイム、PyArmorの痕跡、ブラウザデータへのアクセス、GitHubからのペイロードダウンロード、そして外向きのリバースSSH通信を調査すべきです。
注記: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されることを防ぐため、意図的に無害化表記(例: [.])にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理されている脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/armored-likho-deploys-busysnake/