تیم تحقیقاتی GReAT شرکت کسپرسکی از شناسایی یک گروه جاسوسی سایبری تازه و پیشتر ناشناخته با نام Armored Likho (که با نام Eagle Werewolf نیز شناخته میشود) خبر داده است. این گروه با تمرکز بر نهادهای دولتی و زیرساختهای برق، سازمانهایی را در روسیه، برزیل و قزاقستان هدف قرار داده و با استفاده از یک بدافزار سرقت اطلاعات کاملاً تازه به نام BusySnake Stealer، توانسته دادههای حساس، اطلاعات ورود و دسترسی از راه دور به سیستم قربانیان را در اختیار بگیرد. نکته نگرانکننده گزارش کسپرسکی این است که بخشی از بدافزار اولیه این کمپین با کمک ابزارهای هوش مصنوعی تولید شده است؛ روندی که ردیابی و شناسایی حملات را برای تیمهای امنیتی دشوارتر میکند.
Armored Likho کیست و چرا این کمپین اهمیت دارد؟
Armored Likho ترکیبی از انگیزههای مالی و جاسوسی سایبری را دنبال میکند؛ هم افراد عادی را برای سرقت اطلاعات مالی هدف قرار میدهد و هم سازمانها را برای جاسوسی هدفمند. جعبهابزار این گروه شامل تروجانهای دسترسی از راه دور (RAT) و بدافزارهای سرقت اطلاعات ماژولار است که بهطور ویژه برای دور زدن تحلیل پویا (Dynamic Analysis) طراحی شدهاند. کسپرسکی این کمپین را در زمان انتشار گزارش، همچنان فعال توصیف کرده است.
مسیر نفوذ اولیه
Armored Likho همچنان به فیشینگ هدفمند (Spear Phishing) بهعنوان اصلیترین روش نفوذ خود متکی است. ایمیلهای این کمپین با موضوعاتی مانند اطلاعیههای رسمی دولتی یا برنامههای کمکهای اجتماعی طراحی شده و فایلهای فشردهای با نامهایی نظیر «تست روانشناسی» یا «درخواست کمک بشردوستانه» به قربانی ارسال میشوند. دو روش اصلی برای اجرای بدافزار شناسایی شده است:
- فایل اجرایی (EXE): یک دراپر ساختهشده با NSIS که هنگام اجرا، یک نظرسنجی روانشناسی جعلی نمایش میدهد تا سوءظن کاربر را کاهش دهد، درحالیکه در پسزمینه کد مخرب را به حافظه یک پردازش قانونی تزریق میکند.
- فایل میانبر (LNK): با سوءاستفاده از آسیبپذیری ZDI-CAN-25373، مهاجمان دستورات اجرایی خود را با فاصلهها و خطهای جدید در فایل میانبر پنهان میکنند تا یک فرمان PowerShell مخفی برای دانلود بدافزار اجرا شود.
در هر دو روش، در نهایت یک مفسر Python 3.12 به همراه بستههای وابسته از مخازن GitHub دانلود شده و در مسیر %appdata%WindowsHelper مستقر میشوند؛ سپس با ایجاد یک وظیفه زمانبندیشده (Scheduled Task) که هر پنج دقیقه اجرا میشود، پایداری بدافزار روی سیستم قربانی تضمین میشود.
بدافزار سرقت اطلاعات BusySnake Stealer
هستهٔ اصلی این کمپین را یک بدافزار سرقت اطلاعات نوشتهشده با Python تشکیل میدهد که کسپرسکی آن را BusySnake Stealer نامگذاری کرده است. این بدافزار با ابزار PyArmor Pro مبهمسازی و رمزنگاری شده و کدهای خود را تنها لحظه اجرا رمزگشایی و بلافاصله پس از آن دوباره رمزنگاری میکند تا تحلیل ایستا را دشوار کند. از جمله قابلیتهای کلیدی آن:
- سرقت رمزهای عبور مرورگر: رمزگشایی رمزهای ذخیرهشده در مرورگرهای مبتنی بر Chromium با استفاده از DPAPI ویندوز، و در فایرفاکس با فراخوانی مستقیم تابع PK11SDR_Decrypt.
- سرقت کوکی مرورگر: از طریق پرسوجوی مستقیم پایگاهداده کوکیها، و همچنین با نصب یک افزونهٔ مرورگر اختصاصی برای استخراج کوکی.
- ثبت کلیپبورد و اسکرینشات: پایش مداوم کلیپبورد و گرفتن اسکرینشاتهای دورهای از سیستم قربانی.
- شناسایی کیفپول ارز دیجیتال و کدهای دوعاملی: جستوجوی فایلهای کیفپول با پسوند JSON و رهگیری کدهای OTP از طریق کلیپبورد.
- سرقت جلسات تلگرام: بستن اجباری فرایند Telegram و استخراج کامل پوشهٔ tdata حاوی اطلاعات نشست کاربر.
- تونل SSH معکوس و کنترل از راه دور: برقراری تونل SSH معکوس با کلید خصوصی دریافتی از سرور فرمان و کنترل (C2)، و در صورت نیاز، نصب و راهاندازی نرمافزار RustDesk برای کنترل تعاملی سیستم.
در نسخهٔ جدیدتر این بدافزار، مهاجمان بهجای استفاده مستقیم از دستور schtasks، از کتابخانهٔ win32com برای تعامل با سرویس Schedule.Service ویندوز استفاده میکنند؛ روشی که شناسایی آن برای راهکارهای امنیتی سختتر است. همچنین یک تأخیر عمدی پیش از اجرای روالهای مخرب به بدافزار اضافه شده تا محیطهای تحلیل خودکار (Sandbox) را فریب دهد.
چرا این تهدید برای سازمانهای ایرانی مهم است؟
هدف اصلی این کمپین—نهادهای دولتی و زیرساخت برق—دقیقاً همان بخشهایی هستند که در ایران نیز بهشدت حساس و آسیبپذیر تلقی میشوند. روش نفوذ این گروه نیز متکی بر ضعیفترین حلقهٔ امنیت سازمانی، یعنی کارکنان، است: ایمیلهای فیشینگ با موضوعات اداری و انسانی (مانند کمکهای بشردوستانه) که بهراحتی میتوانند کارکنان هر سازمانی—از جمله سازمانهای ایرانی—را فریب دهند. تولید بدافزار با کمک هوش مصنوعی نیز نشان میدهد که آستانهٔ فنی لازم برای اجرای چنین حملاتی مدام پایینتر میآید و دیگر محدود به گروههای APT بسیار پیشرفته نیست.
نشانههای نفوذ (IOC)
کسپرسکی فهرست کاملی از شاخصهای نفوذ این کمپین را منتشر کرده که برخی از مهمترین موارد آن عبارتند از:
- دامنههای فرمان و کنترل: winupdate[.]live، arvax[.]xyz، varenie[.]live، grked[.]online و چند دامنهٔ مشابه دیگر
- آدرسهای IP سرور C2: از جمله 159.198.41[.]140 و 159.198.32[.]222
- فایل بدافزار اصلی: module.pyw (بدافزار BusySnake Stealer)
- اسکریپتهای VBScript کمکی: wh_selfdelete.vbs و run.vbs در مسیر WindowsHelper
- فایلهای آلوده اولیه: فایلهای LNK، EXE و BAT با نامهای ظاهراً اداری یا انسانی
فهرست کامل هش فایلها و زیرساخت مهاجمان در گزارش اصلی کسپرسکی روی Securelist در دسترس است.
جمعبندی و توصیههای عملی
کمپین Armored Likho نمونهٔ روشنی است از اینکه چگونه ترکیب فیشینگ هدفمند، بدافزار ماژولار پایتونی و حتی هوش مصنوعی میتواند یک گروه نسبتاً ناشناخته را به تهدیدی جدی برای نهادهای دولتی و زیرساختهای حیاتی تبدیل کند. برای کاهش ریسک این نوع حملات، اقدامات زیر توصیه میشود:
- آموزش کارکنان در برابر فیشینگ هدفمند: بهویژه ایمیلهایی با ضمیمهٔ فایل فشرده و موضوعات اداری یا انسانی حساس.
- مسدودسازی اجرای فایلهای LNK و اسکریپت مشکوک: با اعمال سیاستهای محدودکنندهٔ اجرای نرمافزار (Application Control) روی ایستگاههای کاری.
- پایش ایجاد وظایف زمانبندیشده: بهخصوص مواردی که از طریق اشیاء COM یا اسکریپتهای VBScript ایجاد میشوند.
- مسدودسازی دامنهها و IPهای شناساییشده: در فایروال و راهکارهای امنیت شبکه سازمان.
- الزام رمز عبور اصلی (Master Password) در مرورگرها: بهویژه برای فایرفاکس، تا از رمزگشایی خودکار اطلاعات ورود جلوگیری شود.
- استقرار راهکار EDR/XDR با قابلیت تحلیل رفتاری: برای شناسایی الگوهای مشکوک مانند تزریق کد به حافظه یا اجرای اسکریپت در حافظه بدون نوشتن روی دیسک.
مشاوره امنیتی رایگان با کارشناسان فدک رایان
اگر سازمان شما در حوزهٔ دولتی، زیرساختی یا هر بخش حساس دیگری فعالیت میکند و نگران مواجهه با کمپینهای جاسوسی سایبری مشابه Armored Likho هستید، کارشناسان فدک رایان با تکیه بر تجربهٔ چندینساله در پیادهسازی راهکارهای امنیتی کسپرسکی آماده ارزیابی وضعیت امنیتی و پاسخگویی به سؤالات شما هستند. برای دریافت مشاورهٔ تخصصی یا هماهنگی جلسهٔ فنی، همین امروز از طریق صفحه تماس با ما با ما در ارتباط باشید.