یک گروه هکری به نام «Armored Likho» به سازمانهای مختلف در کشورهایی مانند روسیه، برزیل و قزاقستان دسترسی پیدا کرده است.
یک گروه APT که قبلاً ناشناخته بود، با استفاده از یک ابزار بدافزار پیچیده و گسترده که برای سرقت اطلاعات محرمانه، اسناد حساس و سایر دادههای با ارزش بالا طراحی شده است، سازمانهای دولتی و سازمانهای زیرساختهای حیاتی را در چندین کشور هدف قرار میدهد.
این کمپین که محققان کسپرسکی آن را با نام “Armored Likho” ردیابی میکنند، تاکنون قربانیانی را در روسیه، برزیل و قزاقستان به خود جذب کرده است. این حملات شامل کمپینهای با انگیزه مالی با هدف قرار دادن افراد و عملیات جاسوسی سایبری علیه سازمانها در این کشورها بوده است.
کمپین چندوجهی Armored Likho
کسپرسکی مشاهده کرد که این گروه از طریق ایمیلهای فیشینگ هدفمند که خود را به عنوان ارتباطات رسمی دولتی یا ارتباطات و اسناد کمکهای اجتماعی جا میزدند، حملاتی را انجام میدهد. کسپرسکی دریافت که این ایمیلها حاوی فایلهای بایگانی با فایلهای اجرایی مخرب یا فایلهای میانبر ویندوز بودند که خود را به عنوان اسنادی مانند آزمایشهای روانشناسی، درخواستهای کمکهای بشردوستانه یا گواهیهای تسویه بدهی پنهان میکردند.
بسته به نوع فیشینگ، بدافزار مرحله اول یک برنامهی فریبدهندهی منطبق یا سندی با ظاهر بیخطر را اجرا میکند تا حواس قربانی را هنگام اجرای مرحلهی بعدی حمله پرت کند.
برای مثال، در یکی از انواع حمله که کسپرسکی مشاهده کرده است، آرشیو مخرب چیزی را نمایش میداد که ظاهراً یک نظرسنجی روانشناختی مشروع بود، در حالی که در پسزمینه، یک دراپر بیسروصدا بدافزارهای اضافی را بدون هشدار به قربانی استخراج و اجرا میکرد.
به گفتهی کسپرسکی، سبک کدنویسی و کامنتهای جاسازیشده در برخی از اجزای بارگذاریکننده در مراحل اولیهی حملات نشان میدهد که مهاجمان از مدلهای LLM برای تولید آنها استفاده کردهاند.
به گفته کسپرسکی، «تحلیلی از کمپینهای Armored Likho در چند ماه گذشته، روندی را به سمت استفاده از ابزارهای هوش مصنوعی برای تولید payloadهای مرحله اول نشان میدهد، همانطور که از نظرات و بلوکهای کد تکراری مشخص است. این امر به این گروه اجازه میدهد تا بردارهای حمله موجود خود را گسترش دهد.»
بدافزار BusySnake Infostealer
Payloadهای مرحله نهایی و سلاح اصلی در کمپین Armored Likho، یک بدافزار سرقت اطلاعات مبتنی بر پایتون است که قبلاً مستند نشده و کسپرسکی آن را “BusySnake Stealer” نامیده است. تجزیه و تحلیل این شرکت امنیتی از این بدافزار نشان داد که قادر به جمعآوری طیف گستردهای از اطلاعات حساس از سیستمهای قربانی، از جمله رمزهای عبور و کوکیهای ذخیره شده در مرورگر، محتویات کلیپبورد، کلیدهای رمزنگاری، دادههای پیامرسانی و احراز هویت و اطلاعات جلسه تلگرام است.
Busy Snake همچنین میتواند تونلهای SSH معکوس را در سیستمهای آسیبدیده ایجاد کند یا نرمافزار دسترسی از راه دور را مستقر کند تا مهاجمان بتوانند دسترسی تعاملی مداوم را حفظ کنند. علاوه بر این، از یک کانال C2 پشتیبانی میکند که مهاجمان میتوانند در صورت نیاز از آن برای صدور دستورات اضافی استفاده کنند.
تمرکز بر زیرساختهای حیاتی
کسپرسکی می گوید: «این کمپین چندین روند همزمان را برجسته میکند: بلوغ فنی رو به رشد Armored Likho، چندریختی ابزار و تغییر به سمت طرحهای پیچیدهتر با هدف دور زدن راهحلهای امنیتی – از مبهمسازی کد منبع پایتون گرفته تا جاسازی مستقیم مکانیسمهای شبکه در کد بدافزار.»
کسپرسکی افزود، مجموعه بدافزارهای متنوع این گروه تهدید، مهاجم را قادر میسازد تا برای هر قربانی، کدهای مخرب سفارشیشدهای را مستقر کند و کنترل مخفیانهای بر سیستمهای آسیبدیده برای اهداف استخراج دادهها داشته باشد.
Armored Likho یکی از تعداد رو به رشدی از عوامل تهدید است که زیرساختهای حیاتی را برای سرقت دادهها، خرابکاری و اهداف نظارتی هدف قرار میدهند.
کسپرسکی Armored Likho را وابسته به هیچ کشور خاصی معرفی نکرد. اما به نظر میرسد کمپین آن بر برداشت اعتبارنامه و حفظ دسترسی تعاملی بلندمدت در محیطهای متعلق به سازمانهای دولتی و زیرساختهای حیاتی متمرکز است. این شرکت امنیتی شاخصهای نفوذ و سایر اطلاعاتی را ارائه کرده است که سازمانها میتوانند از آنها برای بررسی و مسدود کردن فعالیت Armored Likho استفاده کنند.
منبع: