Daha önce belgelenmemiş bir tehdit aktörü olan Armored Likho, Rusya, Brezilya ve Kazakistan'daki devlet kurumları ve elektrik enerjisi sektörünü hedef alan siber saldırılarla ilişkilendirildi. Kaspersky tarafından yayınlanan teknik analize göre, Armored Likho, özel bireyleri hedef alan finansal motivasyonlu kampanyalarla, kurumlara yönelik hedefli siber casusluğu birleştiriyor. Tehdit aktörünün araç setinde, dinamik analizi atlatmak için özel olarak tasarlanmış gizlenmiş, modüler RAT'ler ve bilgi hırsızları bulunuyor.
Saldırılar ayrıca uzaktan erişim ve ağ tünelleme için Go2Tunnel gibi araçların kullanımıyla karakterize ediliyor. Çeşitli araçlar, tehdit aktörünün tehlikeye atılmış sistemlere kalıcı erişim sağlamasına, kimlik bilgilerini ve hassas verileri çalmasına ve kurbanın profiline göre uyarlanmış modülleri dinamik olarak iletmesine olanak tanıyor. Rus siber güvenlik firması, Armored Likho'nun BI.ZONE tarafından Eagle Werewolf adıyla takip edilen bir tehdit kümesiyle olası örtüşmeler paylaştığını belirtiyor. Bu grup, Mayıs 2023'ten beri aktif olup, özellikle İHA geliştirme ve üretimiyle ilgilenen devlet ve savunma kuruluşlarını hedef alıyor.
Saldırı zincirinin başlangıç noktası, resmi hükümet bildirimleri veya sosyal programlarla ilgili yemler içeren bir oltalama e-postası. Bu e-posta, GitHub deposundan ek yükler (bilgi hırsızı dahil) indiren EXE ikili dosyalarını içeren bir RAR arşivini dağıtıyor. Bırakıcı kötü amaçlı yazılım ayrıca, ilk yürütmenin izlerini silen ve zamanlanmış görev aracılığıyla bilgi hırsızını başlatan iki VBScript dosyası oluşturuyor. Alternatif zincirler, EXE yükleri yerine Windows kısayol (LNK) dosyalarını kullanıyor ve CVE-2025-9491 (ZDI-CAN-25373) olarak izlenen, Windows'un bu dosyaları işleme şekliyle ilgili yamalanmış bir güvenlik açığından yararlanarak uzaktan kod yürütme sağlıyor.
Nasıl Önlem Alınmalı?
BusySnake adlı bilgi hırsızı, statik analizi zorlaştırmak ve tespiti atlatmak için birden fazla kaçınma tekniği uyguluyor. Birincil hedefi, bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak ve ardından gelen komutları beklemek. BusySnake, pano verilerini çalma, dosyaları numaralandırma, belgeleri C2'ye yükleme, ekran görüntüsü alma ve tuş kaydı yapma gibi işlevlerin yanı sıra, kripto para cüzdan dosyalarını, Telegram oturum verilerini ve tarayıcı çerezlerini topluyor. Kaspersky, BusySnake'in daha yeni bir sürümünün, C2 komutlarını işlemek için bir görev yönetimi çerçevesi içerdiğini ve görev durumlarını (ZAMANLANMIŞ, DEVAM EDİYOR, BAŞARILI, BAŞARISIZ) dinamik olarak atadığını tespit etti.