文章总结: APT组织ArmoredLikho(EagleWerewolf)自2023年起活跃,近期利用新型窃密组件BusySnakeStealer,通过鱼叉式钓鱼邮件针对俄罗斯、巴西和哈萨克斯坦的政府机构及电力能源行业发起攻击。该组织融合金融窃取与网络间谍目的,采用PyArmor混淆、LNK漏洞(CVE-2025-9491)、GitHub分发及合法工具(如RustDesk)实现多层反检测。BusySnake具备剪贴板监控、文件枚举、浏览器密码窃取、反向SSH隧道及远程控制等模块化功能,且代码中乌克兰语痕迹暗示地缘背景。攻击者可能借助AI辅助生成代码,模糊TTP特征,归因难度增加。该组织持续活跃,工具链不断演进,对传统防御构成挑战。 综合评分: 84 文章分类: 恶意软件,威胁情报,红队,内网渗透,漏洞分析
APT组织Armored Likho利用新型窃密武器针对政府机构、电力能源行业展开攻击活动
原创
BaizeSec BaizeSec
白泽安全实验室
2026年7月10日 09:00 北京
在小说阅读器读本章
去阅读
一、背景概述
2025年以来,安全研究人员持续追踪到一个此前未被公开记录的APT组织——Armored Likho(亦称Eagle Werewolf)。据卡巴斯基2026年6月报告,该组织近期发起多轮定向鱼叉式钓鱼攻击,目标涵盖俄罗斯、巴西和哈萨克斯坦的政府机构及电力能源行业,兼具经济牟利与网络间谍双重目的。
Armored Likho组织区别于传统APT的显著特点,是将针对个人的资金窃取与针对组织的定向间谍攻击行动相融合。其武器库包含高度混淆的模块化RAT、信息窃取程序,以及Go2Tunnel等隧道工具,可依据受害者类型动态加载适配载荷。在近期攻击活动中,研究人员首次捕获到其组织使用的核心窃密组件——BusySnake Stealer。值得注意的是,BusySnake早期载荷(投放器与stager)中存在大量冗余注释和emoji符号,明显异于人工编写习惯,暗示攻击者可能借助大语言模型辅助生成代码。这种AI辅助手法模糊了TTP特征,增大了归因难度。同时,日志与配置中出现的乌克兰语痕迹为地缘背景提供了线索,但确切起源尚无定论。
从更长周期看,Armored Likho组织活动可追溯至2023年。其前身Eagle Werewolf集群自2023年5月起持续针对政府和国防机构展开攻击,重点关注无人机研发单位。2026年2月,该组织入侵无人机话题Telegram频道,通过伪装成星链设备激活清单的Rust投放器散布AquilaRAT。2024年6月及2025年1月的多轮攻击中,其工具集持续迭代,技术演进能力明显。
二、技术过程分析
(1)初始入侵向量与载荷投递
初始入侵依赖鱼叉式钓鱼邮件,邮件主题紧扣政府通告、社会援助申请、人道物资申请及无债务证明等官方场景。本次捕获的恶意附件多为RAR压缩包,文件名如zayavka_gumanitarnayapomosch.rar(人道主义援助申请)极具欺骗性。包内藏有EXE可执行文件或LNK快捷方式,名称与邮件主题一致,诱使用户执行。
EXE路径下,压缩包内含名为psihologicheskiy_test.exe(心理测试)的文件,实为NSIS制作的SFX自解压归档。双击后,前台显示伪装的心理问卷诱饵程序,后台则将合法文件pnx.exe释放至临时目录并加载。恶意代码通过进程注入将shellcode写入pnx.exe内存,由注入进程从攻击者控制的GitHub仓库拉取后续载荷。利用GitHub分发载荷,可避免直接暴露C2服务器。仓库中留存有测试样本及旧版代码,且内容更新已自动化,支持快速更换载荷与仓库,运营灵活性较高。然后下载的压缩包解压至%appdata%\WindowsHelper,作为后续组件工作区。完整内容包括:核心载荷module.pyw、PyArmor运行时、Python 3.12解释器、get-pip.py(安装pip及依赖库)。依赖安装后,生成两个VBS脚本:wh_selfdelete.vbs删除已执行的投放器,run.vbs通过计划任务每5分钟循环启动module.pyw,实现持久化。
另一场景中,压缩包内载荷替换为恶意LNK文件,利用已修复的Windows LNK参数显示漏洞(CVE-2025-9491,ZDI-CAN-25373)。攻击者在LNK目标路径中插入换行符或大量空格,将真实恶意命令参数隐匿于可视区域外。用户查看时显示正常,实际指向一段混淆PowerShell命令。具体执行流程是LNK通过rundll32调用混淆命令,触发PowerShell下载远程stager并运行。stager首先从C2拉取与邮件主题匹配的DOCX诱饵文档并打开,随后初始化运行环境(远程URL、本地目录、依赖库列表),下载Python 3.12解释器、get-pip.py及包含 module.pyw的data.zip。后续依赖安装、VBS生成、计划任务注册与EXE路径基本一致,最终完成持久化控制。
(2)BusySnake Stealer核心功能剖析
BusySnake Stealer是基于Python3的Windows信息窃取程序,源码经PyArmor Pro v9.2.0深度混淆,采用字节码按需解密,函数调用时解密,返回后立即重加密。程序以.pyw扩展名运行,无控制台窗口,规避用户与基础监控。
程序采用模块化事件处理架构,各核心功能由独立handler实现:
单实例控制与持久化
通过文件系统锁Roaming\WindowsHelper\screenshots.lock判断是否被占用。若未被占用,读取锁内PID,若对应进程不存在且系统启动时间晚于锁文件修改时间,则重建锁并启动。持久化通过ensure_schtask检查计划任务,若缺失则自动重建VBS脚本并注册任务,确保重启后恢复。
剪贴板监控与键盘记录
start_key_clipboard_logger持续监控剪贴板更新,检测到变化时将时间戳和内容按[Clipboard] {timestamp} {escaped_content}格式写入本地日志,可捕获密码、加密货币地址、API密钥等敏感文本。
文件系统枚举与HEX密钥提取
start_inventory_background递归遍历文件系统,在Roaming\WindowsHelper下创建SQLite数据库inventory_state.db,建表scanned_files(路径、修改时间、大小)。遍历排除系统目录、超过16MB的大文件及忽略扩展名列表中的类型。发现的文件传入extract_hex64_from_file,用正则搜索64位十六进制字符串(加密货币私钥、API令牌等),结果存入SQLite、日志并上传C2。扫描完成后输出乌克兰语日志,这些内容成为归因重要线索。
用户文档定向窃取
start_send_documents_priority_background枚举所有逻辑驱动器,确定系统盘后遍历用户目录下的Desktop、Documents、Downloads。排除以$开头或含System Volume Information的子目录,过滤已上传及超过5MB的文件,剩余文件加密传输至C2。
浏览器密码与Cookie窃取
支持Chromium内核(Chrome、Edge、Opera、Brave等)及Firefox的密码提取。对Chromium,定位用户数据目录,找到含主密钥的Login State文件,通过DPAPI(win32crypt.CryptUnprotectData)解密主密钥,再SQL查询SELECT origin_url, username_value, password_value FROM logins并用主密钥解密密码,保存为chromium_passwords.json。
对Firefox,遍历Mozilla\Firefox\Profiles,检查logins.json和key4.db。读取加密用户名和密码字段,构造SECItem,调用NSS库NSS_Init()初始化,自动加载key4.db密钥,用PK11SDR_Decrypt()解密。利用的是Firefox未设主密码时可自动解密的缺陷。
Cookie窃取过程是,当收到C2命令handle_collect_and_send_cookies后,从Chromium Cookies数据库和Firefox cookies.sqlite提取解密,保存为all_browser_data.json回传。另外还有个激进方案,当收到handle_extract_cookies_v7_command后,从GitHub下载加密Python模块,启动本地Web服务器(127.0.0.1:8000),构造含manifest.json和sw.js的浏览器扩展,通过命令行启动Chrome加载扩展,扩展读取cookie回传本地服务器,再上传C2。
反向SSH隧道与远程控制
将Go2Tunnel反向SSH隧道功能利用合法工具使恶意流量混入合法流量。当收到handle_start_proxy_command后,向/tunnel/create/请求获取SSH私钥及连接命令,在受害主机建立反向隧道,穿透防火墙和NAT。远程桌面方面,集成RustDesk利用。handle_remote_control_command检测是否已安装RustDesk,若未安装则从GitHub下载,已安装则强制重启生成新凭据(ID和密码),截图捕获凭据并上传C2。
OTP密钥搜索与加密货币钱包窃取
handle_search_2fa_secrets_command扫描剪贴板和文件系统,搜索otpauth:// 协议前缀(TOTP导出格式),提取密钥保存至2fa_secrets.txt。handle_search_wallet_jsons_command搜索用户目录下所有.json钱包文件。handle_split_and_send_tdata_command强制结束telegram.exe,复制tdata目录下会话和账户数据,打包上传,实现Telegram账户接管。
C2通信与任务调度
通过poll_task轮询C2,向/get_task?client_id=DESKTOP-{hostname}发起GET请求,伪装Edge User-Agent。C2面板采用Web表单登录,以下发命令名称方式调度对应handler。任务执行后向/report_status提交JSON状态报告(含客户端ID、命令名、状态、注释)。
后续版本中攻击者调整了计划任务创建逻辑,通过win32com.client调用Schedule.Service COM接口实现任务下发。该版本新增两项具备隐蔽性的设计:一是自定义任务唯一标识,二是四阶段任务生命周期状态管理(SCHEDULED、IN_PROGRESS、SUCCEEDED、FAILED);同时对C2通信端点完成重构,升级为RESTful规范接口,路径为/api/v1/client/{id}/commands/。工具新增poll_tasks轮询模块,可接收任意Python载荷脚本,在独立进程内存空间直接解释执行、全程无磁盘落写操作,这一改造让BusySnake脱离单一信息窃取工具定位,升级为支持插件加载、可灵活拓展功能的模块化恶意平台。
三、攻击溯源归因
研究人员的综合技术分析,确认BusySnake与Armored Likho存在中度置信度关联。具体归因依据如下:
隧道机制同源性:Armored Likho组织先前广泛使用Go语言编写的Go2Tunnel反向SSH隧道工具,而BusySnake以内置函数形式集成相同功能。两者均向C2请求SSH私钥和连接参数,SSH命令行参数完全一致,API端点结构相似,代码层面复制排除了偶然性。
架构相似性:BusySnake与AquilaRAT均采用C2命令驱动的handler事件处理架构,功能封装为独立函数,由统一分发层调度。任务状态回传端点与数据格式一致。持久化命名伪装策略相同,均模仿Microsoft官方组件。
基础设施重叠:BI.ZONE追踪的Eagle Werewolf与Armored Likho组织明显重叠。Eagle Werewolf自2023年起针对政府和国防机构,关注无人机领域,惯用钓鱼邮件和RAT,2026年2月通过Starlink伪装投放器传播AquilaRAT并使用Go2Tunnel,手法与Armored Likho高度吻合。
语言与地域特征:BusySnake文件枚举日志使用乌克兰语,表明开发者或运营者具备乌克兰语能力。攻击目标分布在俄罗斯、巴西、哈萨克斯坦,以俄罗斯政府与能源为主,符合东欧地区APT行动特征。
四、攻击影响与结论
Armored Likho组织的攻击行动揭示了APT领域的若干重要趋势。该组织“金融窃取与网络间谍融合”的模式模糊了传统APT与犯罪团伙的边界。同一平台既可窃取浏览器凭据、加密货币获取收益,又能通过文件遍历、文档外泄和反向隧道实现政企深度渗透,对基于单一威胁模型的防御体系构成根本挑战。
技术对抗层面,Armored Likho组织展示了多层反检测策略:PyArmor Pro商业混淆与按需解密使静态分析困难;LNK漏洞(CVE-2025-9491)隐藏恶意命令;GitHub分发将恶意流量混入合法请求;利用RustDesk等合法工具包装远程控制。传统特征匹配与静态分析方案难以应对。
最后,研究人员发现截至2026年6月,Armored Likho仍高度活跃,基础设施持续在线,工具链从Go2Tunnel到AquilaRAT再到BusySnake不断演进,功能与隐蔽性双向提升。
参考链接:
https://securelist.ru/tr/armored-likho-apt-with-busysnake-stealer/116058/
往期推荐
LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期(2.23-2.29)
GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期(2.9-2.22)
新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期(02.02-02.07)
APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期(01.26-02.01)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:白泽安全实验室 BaizeSec BaizeSec《APT组织Armored Likho利用新型窃密武器针对政府机构、电力能源行业展开攻击活动》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论