Специалисты «Лаборатории Касперского» выявили вредоносную операцию, привязанную к ранее неизвестному кластеру Armored Likho. Злоумышленники применяют свежий стилер BusySnake, который может извлекать с инфицированных машин секретные сведения и создавать скриншоты, а также перехватывать пароли из веб-обозревателей. Распространение в основном идет через фишинговые сообщения с разными предлогами: от психологических опросов до предоставления гуманитарной поддержки. Эта операция в первую очередь нацелена на правительственные и энергетические структуры, и она продолжается до сих пор. К настоящему моменту атаки зафиксированы в России, Казахстане и Бразилии. Эту информацию CNews передал представитель «Лаборатории Касперского».
Метод заражения. Один из главных путей проникновения — фишинг. Злоумышленники адресно рассылают электронные письма с опасными архивами, чья тематика сильно различается. К примеру, в качестве приманки получателям предлагалось пройти психологический тест или подать заявку на гуманитарную помощь. Имена архивов соответствуют содержанию писем, чтобы обмануть потенциальных жертв и побудить их открыть вредоносное содержимое. Для отвлечения внимания на устройстве запускается приложение с психологической анкетой или документ-ловушка, в зависимости от выбранной легенды. В итоге многоступенчатой цепочки загрузки на компьютер попадает стилер, названный BusySnake.
Новый стилер BusySnake. Этот инструмент создан на Python и предназначен для атак на системы Windows. В процессе анализа эксперты нашли несколько вариантов этой вредоносной программы, а также дополнительный модуль для кражи cookie-файлов. BusySnake обладает обширными возможностями, включая кражу данных из буфера обмена, отправку секретных файлов с зараженной машины на управляющий сервер злоумышленников, а также перехват паролей из Firefox и браузеров на основе Chromium. Кроме того, в исходном коде стилера заложено несколько методов защиты от обнаружения и усложнения статического анализа. Для доставки BusySnake на устройство применяются загрузчики, которые, по результатам анализа кода, были созданы с помощью искусственного интеллекта.
Кто стоит за атаками. С умеренной долей уверенности можно утверждать, что операция связана с ранее не задокументированной группой Armored Likho. Злоумышленники сочетают кибершпионаж в отношении организаций и атаки на обычных пользователей, движимые финансовой выгодой.
«Изучение операций Armored Likho в течение последних нескольких месяцев показало определённую закономерность: киберпреступники применяют инструменты на основе искусственного интеллекта для генерации первоначальных вредоносных файлов, на что указывают излишние комментарии и фрагменты программного кода. Подобная методика существенно увеличивает количество возможных путей проникновения. В то же время эта группировка продолжает совершенствовать и обновлять свой арсенал. Если раньше Go2Tunnel был отдельной программой, то в рамках нынешней кампании его возможности встроены прямо в стилер в качестве встроенной опции, которая получает настройки с управляющего сервера злоумышленников. Кроме того, стоит обратить внимание на то, что структура обнаруженного стилера имеет ряд общих черт с другим инструментом группировки — AquilaRAT. Несмотря на эволюцию вредоносного ПО и попытки замаскировать используемые тактики, техники и процедуры, мы не ослабляем наблюдение за действиями Armored Likho и продолжаем находить новые атаки», — сообщают специалисты.
Продукты «Лаборатории Касперского» для защиты, например, Kaspersky Endpoint Detection and Response Expert, эффективно выявляют эту вредоносную активность.
Полный материал об угрозе Armored Likho доступен на портале Securelist.ru.
Для обеспечения безопасности от таких угроз эксперты «Лаборатории Касперского» советуют организациям: организовывать курсы по кибербезопасности для персонала. Для этих целей подходят онлайн-сервисы, в частности, Kaspersky Automated Security Awareness Platform; применять надёжные средства защиты корпоративных устройств, чья результативность подтверждена независимыми испытаниями, например, Kaspersky Security для бизнеса; крупным предприятиям — внедрять комплексные системы, которые позволяют создать гибкую и надёжную защитную архитектуру, такие как Kaspersky Symphony XDR; обеспечивать ИБ-специалистов актуальными данными о новейших тактиках, техниках и процедурах хакеров, к примеру, через сервисы Threat Intelligence; составить план действий при инцидентах. Он обязан содержать сценарии поведения сотрудников при возникновении различных ИБ-событий, перечень требуемых ресурсов, список используемых инструментов, а также полномочия и задачи команды реагирования.