Um novo grupo de ameaças avançadas persistentes (APT) identificado como Armored Likho, também conhecido como Eagle Werewolf, está conduzindo uma campanha de ciberespionagem sofisticada que tem como alvo agências governamentais e o setor de energia elétrica. A campanha, que se estende por Rússia, Brasil e Cazaquistão, utiliza ferramentas maliciosas polimórficas e geração de código por inteligência artificial para evadir detecções e manter acesso persistente às redes comprometidas.
Descoberta e escopo da campanha
A Kaspersky identificou a atividade do Armored Likho durante monitoramento de rotina de ameaças. O grupo combina campanhas motivadas financeiramente contra indivíduos privados com ciberespionagem direcionada a organizações. Seu arsenal inclui RATs (Trojans de Acesso Remoto) e infostealers (roubadores de informações) obfuscos, especificamente projetados para contornar análises dinâmicas. Além disso, o grupo utiliza ferramentas mais simples como o Go2Tunnel para acesso remoto e tunelamento de rede.
Uma das características mais preocupantes desta campanha é o uso de inteligência artificial para gerar os primeiros estágios do payload malicioso. Isso borra os TTPs (Táticas, Técnicas e Procedimentos) dos atacantes e complica os esforços de atribuição. A campanha destaca tendências concorrentes: a crescente maturidade técnica do Armored Likho, a polimorfia de ferramentas e uma mudança para esquemas mais complexos destinados a contornar soluções de segurança.
Vetor de infecção inicial
O phishing continua sendo um dos principais vetores de acesso inicial que este ator de ameaças utiliza pesadamente em suas campanhas mais recentes. O Armored Likho utiliza e-mails de spear-phishing, com temas que variam de avisos governamentais oficiais a programas sociais. Em sua campanha mais recente, os atacantes distribuíram anexos maliciosos dentro de arquivos compactados com nomes como 1bfb2e79-8084-429e-a35c-8b595ab9f839_psihologicheskiy_test.zip (teste psicológico) ou zayavka_gumanitarnayapomosch.rar (pedido de ajuda humanitária).
Esses arquivos compactados continham executáveis ou arquivos LNK nomeados para imitar os temas do e-mail, enganando os usuários para executá-los em seus dispositivos. Existem duas variantes principais de como eles conseguem o acesso inicial:
- Anexo EXE: O arquivo compactado contém um dropper nomeado
psihologicheskiy_test.exe, que é um arquivo auto-extraível construído usando o Nullsoft Scriptable Install System (NSIS). Quando a vítima abre o arquivo, um aplicativo de isca é lançado para desarmar a suspeita, apresentando uma pesquisa psicológica falsa. Uma vez executado, o dropper escreve um executável legítimo,$temp\nsn5531.tmp\pnx.exe, no disco e o inicia. O código é então injetado na memória do processo pnx.exe para executar um carregador malicioso. - Anexo LNK: Em campanhas alternativas, o arquivo compactado contém um arquivo nomeado
Zayavka_[redacted].lnk. O grupo aproveitou a vulnerabilidade de atalho ZDI-CAN-25373 para ocultar o conteúdo de sua linha de comando. Isso permite que os atacantes usem espaços ou quebras de linha para ocultar parâmetros de execução.
Análise técnica do BusySnake Stealer
O payload principal nesta campanha é um infostealer anteriormente não documentado, baseado em Python, que os pesquisadores batizaram de BusySnake Stealer. O código-fonte do stealer implementa múltiplas técnicas de evasão projetadas para frustrar a detecção e complicar a análise estática. Especificamente, o código do BusySnake Stealer é ofuscado e criptografado usando o PyArmor Pro versão 9.2.0. O malware descriptografa seu bytecode dinamicamente apenas no momento exato em que uma função é chamada, recriptografando os dados imediatamente após.
A arquitetura do stealer depende de handlers, cada um responsável por funções específicas. O malware inicializa seu arquivo de configuração, que contém o endereço do servidor C2, caminhos de diretório, expressões regulares, intervalos de captura de tela, uma string User-Agent para comunicações de rede e muito mais. O malware varre o sistema de arquivos local e tenta extrair chaves hexadecimais de 64 caracteres dos arquivos. Ele também mapeia unidades lógicas e varre diretórios de usuário como /Desktop, /Documents e /Downloads.
Além disso, o stealer mantém uma conexão ativa com o servidor C2 para aguardar instruções durante a execução. Ele pode exfiltrar senhas de navegadores Chromium e Firefox, cookies, dados do Telegram, chaves de criptomoedas e até mesmo instalar extensões de navegador para roubo de cookies. Uma funcionalidade notável é a capacidade de estabelecer túneis SSH reversos como uma função integrada, permitindo acesso remoto persistente e controle interativo sobre o host comprometido.
Impacto e alcance no Brasil
Até o momento, vítimas confirmadas foram identificadas na Rússia, Cazaquistão e Brasil. Os ataques são focados principalmente nos setores de infraestrutura governamental e de energia elétrica. A presença de vítimas no Brasil destaca a necessidade de vigilância reforçada por parte das equipes de segurança da informação locais, especialmente em setores críticos.
O uso de ferramentas como o BusySnake Stealer, que incorpora funcionalidades de tunelamento SSH e roubo de credenciais de navegadores, representa uma ameaça significativa para organizações que lidam com dados sensíveis. A capacidade do malware de instalar extensões de navegador para roubo de cookies e de estabelecer túneis SSH reversos permite que os atacantes mantenham acesso de longo prazo e exfiltrem dados de forma eficiente.
Medidas de mitigação recomendadas
Para se proteger contra as campanhas do Armored Likho, as organizações devem adotar as seguintes medidas:
- Monitoramento de e-mails: Implementar filtros de e-mail avançados para detectar e bloquear anexos maliciosos, especialmente arquivos compactados com nomes suspeitos.
- Atualização de sistemas: Garantir que todos os sistemas estejam atualizados com as últimas correções de segurança, especialmente para vulnerabilidades conhecidas como a ZDI-CAN-25373.
- Detecção de comportamento: Utilizar soluções de detecção e resposta de endpoint (EDR) que possam identificar comportamentos suspeitos, como a execução de scripts PowerShell ofuscados ou a criação de tarefas agendadas maliciosas.
- Conscientização: Treinar funcionários para reconhecer e reportar e-mails de phishing, especialmente aqueles que parecem ser de fontes governamentais ou de ajuda humanitária.
- Monitoramento de rede: Implementar monitoramento de tráfego de rede para detectar comunicações com servidores C2 conhecidos e atividades de tunelamento SSH suspeitas.
Perguntas frequentes
Qual é o principal objetivo do Armored Likho?
O grupo combina objetivos financeiros com ciberespionagem, focando em agências governamentais e infraestrutura de energia.
Como o BusySnake Stealer se diferencia de outros malwares?
Ele utiliza ofuscação avançada, geração de código por IA e funcionalidades integradas de tunelamento SSH.
Quais são os indicadores de comprometimento (IOCs) mais importantes?
Os IOCs incluem hashes de arquivos maliciosos, domínios C2 e padrões de comportamento específicos, como a criação de tarefas agendadas com nomes suspeitos.