BusySnake StealerがリバースSSHトンネルとAI生成ローダーで検知を回避

状況証拠から別名Eagle Werewolfとしても追跡されている、これまで報告されていなかった脅威グループ「Armored Likho」が、BusySnakeという新種のPythonベース情報窃取マルウェアを使い、ロシア、ブラジル、カザフスタン各地の政府機関や電力関連組織を標的にしていることが分かりました。

このグループの活動は、サイバースパイ活動と金銭目的の活動が異例の形で重なり合っている点が特徴です。

Armored Likhoは情報収集を目的として組織を標的にする一方で、換金や、より広範な侵入活動への再利用が可能な、ブラウザの認証情報、暗号資産ウォレットファイル、Telegramのセッションデータ、Cookie、二要素認証のシークレットも狙っています。

初期侵入は、公式通知、人道支援申請、債務清算証明書、心理テストといったテーマを装ったフィッシングメールから始まります。

悪意のあるZIPまたはRAR添付ファイルには、実行ファイル型のドロッパー、あるいは誘い文句の内容に合わせて作られたLNKショートカットファイルのいずれかが含まれています。観測されたある感染チェーンでは、NSISの自己解凍実行ファイルが囮の心理アンケートを起動する一方で、悪意のあるローダーを正規プロセスに注入していました。

このローダーは攻撃者が管理するGitHubリポジトリからペイロードのアーカイブを取得しており、マルウェア配布とペイロードの迅速なローテーションのために正規の開発プラットフォームが引き続き悪用されている実態が浮き彫りになっています。

Antivirus& Malware

このアーカイブは、Python 3.123.123.12ランタイム、pip依存パッケージ、PyArmorコンポーネント、そしてBusySnakeのペイロードを%AppData%\WindowsHelperディレクトリにインストールします。永続化はVBScriptと、5分ごとにスティーラーを実行するよう設定されたスケジュールタスクによって確立されます。

Securelistの研究者らによると、この活動中のキャンペーンは、標的型フィッシング、AI生成のローダーコード、リバースSSHトンネリング、モジュール式の認証情報窃取機能を組み合わせることで、解析を回避しつつ侵害したWindowsシステムへのアクセスを維持しているとのことです。

BusySnake Stealerが用いるリバースSSH

別の感染経路では、ZDI-CAN-25373として追跡されているWindowsのLNK表示に関する問題が悪用されています。この欠陥により、攻撃者はスペースや改行を使ってコマンドラインのパラメータを隠すことができます。

Image

起動されると、このショートカットは難読化されたPowerShellコマンドを実行して次段階のローダーをダウンロードし、ユーザーの疑念を減らすために無害な文書を表示します。

研究者らは、いくつかの第一段階のローダーに異例なほど冗長なコメントや絵文字を用いたリストが見られる点を確認しており、これは大規模言語モデルによって生成されたか、大幅に補助されたことを示唆する特徴だとしています。

このようなAIの利用は、攻撃者の特定を難しくします。市販品のように見えるコードは、マルウェアを特定の実行者に結び付けるために従来使われてきたコーディングパターンを保持することなく、迅速に書き換え、再パッケージ化、カスタマイズできてしまうためです。

BusySnake自体はPyArmor Pro 9.2.09.2.09.2.0で保護されており、これは関数が実行される時だけPythonのバイトコードを復号し、実行後に再び暗号化する仕組みです。

Image

また、このスティーラーは.pywファイルとして実行されるため、コンソールウィンドウが表示されず、被害者側からの視認性が下がります。

各モジュールはファイルの一覧を作成し、クリップボードの内容を記録し、スクリーンショットを取得し、646464文字の16進数キーを特定し、デスクトップ、ドキュメント、ダウンロードの各フォルダから文書を窃取します。

このマルウェアは、Windows DPAPIを通じてChromiumベースのブラウザに保存された認証情報を復号できるほか、PK11SDR_Decrypt関数を通じてFirefoxの認証情報も復元できます。

Antivirus& Malware

また、ローカルデータベースから直接ブラウザのCookieを窃取するほか、悪意のあるブラウザ拡張機能をインストールする補助モジュールを展開することもあります。この拡張機能は、収集したCookieデータをまずローカルにホストされたサーバーへ中継し、その後コマンド&コントロール基盤へ転送します。

特に注目すべき点として、BusySnakeはコマンドサーバーからSSHコマンドと秘密鍵を受け取った後、リバースSSHトンネルを確立できます。

Image

この機能により、攻撃者はネットワーク制限を回避し、被害環境への暗号化された経路を作成し、侵害したエンドポイントを経由してリモートで横展開できます。このインプラントは、対話的なリモートアクセスを支援するためにRustDeskをインストールまたは操作することも可能です。

セキュリティチームは、%AppData%\WindowsHelperに関連するスケジュールタスクやVBScriptランチャー、予期しないPythonランタイムの展開、不審なGitHubホスト型アーカイブ、異常なブラウザ拡張機能のインストール、そして通常SSHを使用しないエンドポイントからの発信SSH通信を監視する必要があります。

今回のキャンペーンは、モジュール式マルウェア、AI支援による開発、信頼された各種クラウドサービスが融合することで、フィッシングを起点とする侵入チェーンがより順応性が高く、検知しづらいものになっていることを示しています。

2019年のSOC向けに書かれたSLAを受け入れるのはもうやめませんか – こちらが2026年版AI SLA ベンダーチェックリストです – 無料の AI SOC SLA ガイドをダウンロード

翻訳元: https://gbhackers.com/busysnake-stealer-uses-reverse-ssh/

ソース: gbhackers.com