這篇文章將為大家解析近期被揭露的威脅組織 Armored Likho 的攻擊行為。這個組織的目標非常明確,主要鎖定俄羅斯、巴西與哈薩克的政府機關以及電力能源部門。對工程師來說,這類攻擊最值得關注的不是它攻擊誰,而是它如何結合多種技術手段來規避偵測並維持在目標系統中的權限。
攻擊者的多重目標與特徵
Armored Likho 是一個相當靈活的組織,他們採取一種混合模式:一方面進行以金錢為目的的個體攻擊,另一方面則進行針對組織的網路間諜活動。他們使用的工具集包含高度混淆的模組化 RAT(遠端存取木馬,一種允許攻擊者遠程控制受害電腦的惡意軟體)以及專門設計用來繞過動態分析的資訊竊取工具(Infostealer)。
攻擊路徑與進入點
攻擊通常從魚叉式網路釣魚(Spear-phishing)開始。攻擊者會偽裝成政府公告或社會福利計畫,誘騙使用者下載 RAR 壓縮檔。這個壓縮檔內含 EXE 執行檔,扮演著 Dropper(下載器)的角色。
Dropper 的作用是從 GitHub 等外部儲存庫下載後續的惡意載荷(Payload),例如 BusySnake 偷圖工具。為了掩蓋行蹤,Dropper 會建立 VBScript 檔案來刪除執行紀錄,並透過 Windows 的排程工作(Scheduled Task)來確保惡意程式在系統重啟後仍能自動執行。
除了 EXE 檔案,他們還利用了 Windows 快捷方式(LNK)的漏洞(CVE-2025-9491)。這個漏洞允許攻擊者透過偽造的 LNK 檔案觸發遠端程式碼執行(RCE),進而啟動混淆過的 PowerShell 指令,在後台靜默部署 Python 編寫的惡意軟體。
深入分析 BusySnake Stealer
這次被揭露的核心工具是 BusySnake,這是一個基於 Python 開發的資訊竊取工具。為了讓安全軟體難以偵測,BusySnake 採取了幾項關鍵的工程手段:
首先是動態解密。它不會將所有功能碼一次性載入記憶體,而是在呼叫特定函數的瞬間才解密對應的字節碼(Bytecode),執行完後立即重新加密。這種做法能有效對抗靜態分析(Static Analysis),因為分析人員在查看檔案時,大部分的邏輯都處於加密狀態。
其次是隱匿執行。它使用 .pyw 副檔名,這讓程式在執行時不會彈出命令提示字元(Console Window),讓使用者完全察覺不到後台有程式在運行。
BusySnake 的功能模組化且強大,包括: 監控剪貼簿內容與記錄擊鍵(Keylogging)。 掃描系統檔案並將元數據存入本地資料庫,隨後上傳至 C2 伺服器。 竊取瀏覽器的 Cookies、密碼以及 Telegram 的對話 session。 截圖並定期封裝上傳。 針對加密貨幣錢包(JSON 格式)進行專項搜尋。
C2 通訊與持久化機制
C2(Command and Control)是指攻擊者的指令控制伺服器。BusySnake 的最新版本引入了一個任務管理框架,能將指令狀態標記為排程中、執行中、成功或失敗,這顯示該組織已將攻擊流程工程化,具備良好的回報與管理機制。
為了維持遠端連線,他們使用了 Go2Tunnel 工具。這是一個建立反向 SSH 隧道(Reverse SSH Tunnel)的工具,能讓受害主機主動連回攻擊者的伺服器,從而繞過防火牆的入站限制。值得注意的是,Go2Tunnel 最初是獨立工具,但現在已被直接整合進 BusySnake 的程式碼中,提高了部署效率。
AI 的介入與趨勢
研究發現,部分第一階段的載入器(Loader)程式碼中出現了冗餘的註釋與重複區塊,這強烈暗示攻擊者在開發過程中使用了 AI 輔助編碼工具。
總結來說,Armored Likho 的演進趨勢在於工具的多樣化與模組化。他們不再依賴單一工具,而是將 Python 混淆、SSH 隧道、AI 生成碼與 Windows 系統漏洞結合,形成一套完整的攻擊鏈。對於維運與資安工程師而言,監控異常的排程工作、不尋常的 PowerShell 執行以及對外不正常的 SSH 連線,將是偵測此類攻擊的關鍵。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。