برترین نماینده کسپرسکی در غرب آسیا

گروه Armored Likho و بدافزار BusySnake Stealer: کمپین جاسوسی علیه نهادهای دولتی و زیرساخت برق

Telegram
WhatsApp
LinkedIn

گروه Armored Likho و بدافزار BusySnake Stealer: کمپین جاسوسی علیه نهادهای دولتی و زیرساخت برق

تصویر مفهومی جاسوسی سایبری گروه Armored Likho و بدافزار BusySnake Stealer

تیم تحقیقاتی GReAT شرکت کسپرسکی از شناسایی یک گروه جاسوسی سایبری تازه و پیش‌تر ناشناخته با نام Armored Likho (که با نام Eagle Werewolf نیز شناخته می‌شود) خبر داده است. این گروه با تمرکز بر نهادهای دولتی و زیرساخت‌های برق، سازمان‌هایی را در روسیه، برزیل و قزاقستان هدف قرار داده و با استفاده از یک بدافزار سرقت اطلاعات کاملاً تازه به نام BusySnake Stealer، توانسته داده‌های حساس، اطلاعات ورود و دسترسی از راه دور به سیستم قربانیان را در اختیار بگیرد. نکته نگران‌کننده گزارش کسپرسکی این است که بخشی از بدافزار اولیه این کمپین با کمک ابزارهای هوش مصنوعی تولید شده است؛ روندی که ردیابی و شناسایی حملات را برای تیم‌های امنیتی دشوارتر می‌کند.

Armored Likho کیست و چرا این کمپین اهمیت دارد؟

Armored Likho ترکیبی از انگیزه‌های مالی و جاسوسی سایبری را دنبال می‌کند؛ هم افراد عادی را برای سرقت اطلاعات مالی هدف قرار می‌دهد و هم سازمان‌ها را برای جاسوسی هدفمند. جعبه‌ابزار این گروه شامل تروجان‌های دسترسی از راه دور (RAT) و بدافزارهای سرقت اطلاعات ماژولار است که به‌طور ویژه برای دور زدن تحلیل پویا (Dynamic Analysis) طراحی شده‌اند. کسپرسکی این کمپین را در زمان انتشار گزارش، همچنان فعال توصیف کرده است.

مسیر نفوذ اولیه

Armored Likho همچنان به فیشینگ هدفمند (Spear Phishing) به‌عنوان اصلی‌ترین روش نفوذ خود متکی است. ایمیل‌های این کمپین با موضوعاتی مانند اطلاعیه‌های رسمی دولتی یا برنامه‌های کمک‌های اجتماعی طراحی شده و فایل‌های فشرده‌ای با نام‌هایی نظیر «تست روان‌شناسی» یا «درخواست کمک بشردوستانه» به قربانی ارسال می‌شوند. دو روش اصلی برای اجرای بدافزار شناسایی شده است:

  • فایل اجرایی (EXE): یک دراپر ساخته‌شده با NSIS که هنگام اجرا، یک نظرسنجی روان‌شناسی جعلی نمایش می‌دهد تا سوءظن کاربر را کاهش دهد، درحالی‌که در پس‌زمینه کد مخرب را به حافظه یک پردازش قانونی تزریق می‌کند.
  • فایل میان‌بر (LNK): با سوءاستفاده از آسیب‌پذیری ZDI-CAN-25373، مهاجمان دستورات اجرایی خود را با فاصله‌ها و خط‌های جدید در فایل میان‌بر پنهان می‌کنند تا یک فرمان PowerShell مخفی برای دانلود بدافزار اجرا شود.

در هر دو روش، در نهایت یک مفسر Python 3.12 به همراه بسته‌های وابسته از مخازن GitHub دانلود شده و در مسیر %appdata%WindowsHelper مستقر می‌شوند؛ سپس با ایجاد یک وظیفه زمان‌بندی‌شده (Scheduled Task) که هر پنج دقیقه اجرا می‌شود، پایداری بدافزار روی سیستم قربانی تضمین می‌شود.

بدافزار سرقت اطلاعات BusySnake Stealer

هستهٔ اصلی این کمپین را یک بدافزار سرقت اطلاعات نوشته‌شده با Python تشکیل می‌دهد که کسپرسکی آن را BusySnake Stealer نام‌گذاری کرده است. این بدافزار با ابزار PyArmor Pro مبهم‌سازی و رمزنگاری شده و کدهای خود را تنها لحظه اجرا رمزگشایی و بلافاصله پس از آن دوباره رمزنگاری می‌کند تا تحلیل ایستا را دشوار کند. از جمله قابلیت‌های کلیدی آن:

  • سرقت رمزهای عبور مرورگر: رمزگشایی رمزهای ذخیره‌شده در مرورگرهای مبتنی بر Chromium با استفاده از DPAPI ویندوز، و در فایرفاکس با فراخوانی مستقیم تابع PK11SDR_Decrypt.
  • سرقت کوکی مرورگر: از طریق پرس‌وجوی مستقیم پایگاه‌داده کوکی‌ها، و همچنین با نصب یک افزونهٔ مرورگر اختصاصی برای استخراج کوکی.
  • ثبت کلیپ‌بورد و اسکرین‌شات: پایش مداوم کلیپ‌بورد و گرفتن اسکرین‌شات‌های دوره‌ای از سیستم قربانی.
  • شناسایی کیف‌پول ارز دیجیتال و کدهای دوعاملی: جست‌وجوی فایل‌های کیف‌پول با پسوند JSON و رهگیری کدهای OTP از طریق کلیپ‌بورد.
  • سرقت جلسات تلگرام: بستن اجباری فرایند Telegram و استخراج کامل پوشهٔ tdata حاوی اطلاعات نشست کاربر.
  • تونل SSH معکوس و کنترل از راه دور: برقراری تونل SSH معکوس با کلید خصوصی دریافتی از سرور فرمان و کنترل (C2)، و در صورت نیاز، نصب و راه‌اندازی نرم‌افزار RustDesk برای کنترل تعاملی سیستم.

در نسخهٔ جدیدتر این بدافزار، مهاجمان به‌جای استفاده مستقیم از دستور schtasks، از کتابخانهٔ win32com برای تعامل با سرویس Schedule.Service ویندوز استفاده می‌کنند؛ روشی که شناسایی آن برای راهکارهای امنیتی سخت‌تر است. همچنین یک تأخیر عمدی پیش از اجرای روال‌های مخرب به بدافزار اضافه شده تا محیط‌های تحلیل خودکار (Sandbox) را فریب دهد.

چرا این تهدید برای سازمان‌های ایرانی مهم است؟

هدف اصلی این کمپین—نهادهای دولتی و زیرساخت برق—دقیقاً همان بخش‌هایی هستند که در ایران نیز به‌شدت حساس و آسیب‌پذیر تلقی می‌شوند. روش نفوذ این گروه نیز متکی بر ضعیف‌ترین حلقهٔ امنیت سازمانی، یعنی کارکنان، است: ایمیل‌های فیشینگ با موضوعات اداری و انسانی (مانند کمک‌های بشردوستانه) که به‌راحتی می‌توانند کارکنان هر سازمانی—از جمله سازمان‌های ایرانی—را فریب دهند. تولید بدافزار با کمک هوش مصنوعی نیز نشان می‌دهد که آستانهٔ فنی لازم برای اجرای چنین حملاتی مدام پایین‌تر می‌آید و دیگر محدود به گروه‌های APT بسیار پیشرفته نیست.

نشانه‌های نفوذ (IOC)

کسپرسکی فهرست کاملی از شاخص‌های نفوذ این کمپین را منتشر کرده که برخی از مهم‌ترین موارد آن عبارتند از:

  • دامنه‌های فرمان و کنترل: winupdate[.]live، arvax[.]xyz، varenie[.]live، grked[.]online و چند دامنهٔ مشابه دیگر
  • آدرس‌های IP سرور C2: از جمله 159.198.41[.]140 و 159.198.32[.]222
  • فایل بدافزار اصلی: module.pyw (بدافزار BusySnake Stealer)
  • اسکریپت‌های VBScript کمکی: wh_selfdelete.vbs و run.vbs در مسیر WindowsHelper
  • فایل‌های آلوده اولیه: فایل‌های LNK، EXE و BAT با نام‌های ظاهراً اداری یا انسانی

فهرست کامل هش فایل‌ها و زیرساخت مهاجمان در گزارش اصلی کسپرسکی روی Securelist در دسترس است.

جمع‌بندی و توصیه‌های عملی

کمپین Armored Likho نمونهٔ روشنی است از اینکه چگونه ترکیب فیشینگ هدفمند، بدافزار ماژولار پایتونی و حتی هوش مصنوعی می‌تواند یک گروه نسبتاً ناشناخته را به تهدیدی جدی برای نهادهای دولتی و زیرساخت‌های حیاتی تبدیل کند. برای کاهش ریسک این نوع حملات، اقدامات زیر توصیه می‌شود:

  1. آموزش کارکنان در برابر فیشینگ هدفمند: به‌ویژه ایمیل‌هایی با ضمیمهٔ فایل فشرده و موضوعات اداری یا انسانی حساس.
  2. مسدودسازی اجرای فایل‌های LNK و اسکریپت مشکوک: با اعمال سیاست‌های محدودکنندهٔ اجرای نرم‌افزار (Application Control) روی ایستگاه‌های کاری.
  3. پایش ایجاد وظایف زمان‌بندی‌شده: به‌خصوص مواردی که از طریق اشیاء COM یا اسکریپت‌های VBScript ایجاد می‌شوند.
  4. مسدودسازی دامنه‌ها و IPهای شناسایی‌شده: در فایروال و راهکارهای امنیت شبکه سازمان.
  5. الزام رمز عبور اصلی (Master Password) در مرورگرها: به‌ویژه برای فایرفاکس، تا از رمزگشایی خودکار اطلاعات ورود جلوگیری شود.
  6. استقرار راهکار EDR/XDR با قابلیت تحلیل رفتاری: برای شناسایی الگوهای مشکوک مانند تزریق کد به حافظه یا اجرای اسکریپت در حافظه بدون نوشتن روی دیسک.

مشاوره امنیتی رایگان با کارشناسان فدک رایان

اگر سازمان شما در حوزهٔ دولتی، زیرساختی یا هر بخش حساس دیگری فعالیت می‌کند و نگران مواجهه با کمپین‌های جاسوسی سایبری مشابه Armored Likho هستید، کارشناسان فدک رایان با تکیه بر تجربهٔ چندین‌ساله در پیاده‌سازی راهکارهای امنیتی کسپرسکی آماده ارزیابی وضعیت امنیتی و پاسخ‌گویی به سؤالات شما هستند. برای دریافت مشاورهٔ تخصصی یا هماهنگی جلسهٔ فنی، همین امروز از طریق صفحه تماس با ما با ما در ارتباط باشید.

نرم افزار پیشرفته حضور و غیاب

محصولی از فدک رایان

محتوای جدول