Эксперты «Лаборатории Касперского» выявили активную вредоносную кампанию, связанную с ранее неизвестной группировкой Armored Likho. Злоумышленники применяют новый стилер BusySnake, нацеленный на Windows-системы. Вредонос способен похищать конфиденциальные данные, перехватывать пароли из браузеров и делать скриншоты. Основной вектор распространения — таргетированные фишинговые письма. Кампания в первую очередь направлена на государственный и электроэнергетический секторы. На текущий момент атаки зафиксированы в России, Казахстане и Бразилии. Об этом сообщил CNews представитель «Лаборатории Касперского».
Злоумышленники рассылают письма с вредоносными архивами, легенды которых заметно варьируются. В качестве приманки получателям предлагается пройти психологический тест или оформить заявку на гуманитарную помощь. Названия архивов повторяют тематику писем, чтобы усыпить бдительность и вынудить жертву запустить вредоносное содержимое. Для отвлечения внимания на устройстве действительно открывается опросник или документ-приманка, соответствующая сценарию атаки. В результате многоступенчатой цепочки загрузки в систему попадает стилер, получивший имя BusySnake.
Стилер написан на Python и обладает широкой функциональностью. Он умеет красть данные из буфера обмена, передавать конфиденциальные файлы на командный сервер злоумышленников, а также перехватывать пароли из Firefox и браузеров на базе Chromium. Обнаружено несколько версий BusySnake и дополнительный модуль для кражи cookie-файлов. В исходном коде предусмотрено несколько механизмов защиты от обнаружения и приёмов, затрудняющих статический анализ. Для доставки стилера на устройство используются загрузчики, которые, судя по анализу кода, были сгенерированы с помощью инструментов на базе искусственного интеллекта.
Со средней степенью уверенности можно утверждать, что кампания связана с группой Armored Likho, ранее не описанной публично. Исследователи отмечают, что злоумышленники совмещают кибершпионаж против организаций и финансово мотивированные атаки на частных пользователей. По их данным, группировка всё чаще прибегает к ИИ-инструментам для создания полезных нагрузок первого этапа, на что указывают избыточные комментарии и характерные блоки кода. Такой подход заметно расширяет число векторов атаки. Параллельно Armored Likho продолжает модифицировать инструментарий: если раньше туннелирующая утилита Go2Tunnel использовалась как самостоятельный компонент, то в текущей кампании её функциональность встроена непосредственно в стилер в виде функции, получающей параметры от командного сервера. Кроме того, в архитектуре BusySnake прослеживаются определённые сходства с ещё одним инструментом группы — AquilaRAT. «Несмотря на развитие вредоносного инструментария и попытки скрыть используемые TTP, мы продолжаем внимательно следить за деятельностью Armored Likho и выявлять новые кампании злоумышленников», — подчеркнули исследователи.
Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно детектируют данную вредоносную активность. Подробный отчёт о группировке Armored Likho опубликован на портале Securelist.ru. Для минимизации рисков эксперты рекомендуют организациям следующий набор мер: проводить регулярное обучение сотрудников, в том числе с использованием платформ наподобие Kaspersky Automated Security Awareness Platform; применять надёжные защитные программы, например Kaspersky Security для бизнеса; крупным предприятиям внедрять комплексные решения, позволяющие выстроить гибкую систему безопасности, такие как Kaspersky Symphony XDR; обеспечивать ИБ-специалистов актуальной информацией о тактиках, техниках и процедурах злоумышленников, в том числе через сервисы Threat Intelligence; а также разработать план реагирования на инциденты, включающий сценарии действий сотрудников, перечень ресурсов и применяемых инструментов, а также права и обязанности команды реагирования. Освежить подходы к разработке и управлению ИТ-ландшафтом предлагается на тематическом мероприятии: 21 апреля в 16:00 МСК состоится вебинар «Вайб-кодинг в энтерпрайз: 5 блокеров и путь к управляемой разработке».