Armored Likoh Hedef Alıyor: Devlet Kurumları ve Enerji Sektörüne Yönelik BusySnake Tehdidi Yazılım

Armored Likoh Hedef Alıyor: Devlet Kurumları ve Enerji Sektörüne Yönelik BusySnake Tehdidi

Armored Likho, Rusya, Brezilya ve Kazakistan'da devlet kurumları ile enerji sektörünü hedef alan yeni bir siber tehdit aktörü.

Kaspersky araştırmacıları, daha önce bilinmeyen Armored Likho adlı bir tehdit aktörünün Rusya, Brezilya ve Kazakistan'daki devlet kurumları ile elektrik enerjisi sektörüne yönelik siber saldırılar düzenlediğini ortaya çıkardı. Armored Likho, hem bireylere yönelik finansal motivasyonlu kampanyaları hem de kuruluşlara yönelik hedefli siber casusluğu birleştiriyor. Tehdit aktörü, dinamik analizi atlatmak için özel olarak tasarlanmış gizlenmiş, modüler RAT'ler ve bilgi hırsızları kullanıyor.

Saldırılarda Go2Tunnel gibi araçlarla uzaktan erişim ve ağ tünelleme yapılıyor. Geniş araç yelpazesi sayesinde tehdit aktörü, ele geçirilen sistemlerde kalıcı erişim sağlıyor, kimlik bilgilerini ve hassas verileri çalıyor ve kurbanın profiline göre özelleştirilmiş modüller dinamik olarak yüklüyor. Kaspersky, Armored Likho'nun BI.ZONE tarafından Eagle Werewolf olarak takip edilen bir tehdit kümesiyle olası bağlantıları olduğunu belirtiyor. Eagle Werewolf, Mayıs 2023'ten beri aktif ve özellikle İHA geliştirme ve üretimi yapan devlet ve savunma kuruluşlarını hedef alıyor.

Saldırı zinciri, resmi devlet bildirimleri veya sosyal programlar konulu oltalama e-postalarıyla başlıyor. E-posta, EXE ikili dosyaları içeren bir RAR arşivi dağıtıyor. Bu dosyalar, GitHub deposundan ek yükler (bilgi hırsızı dahil) indirmek için damlalık görevi görüyor. Damlalık ayrıca, ilk çalıştırmanın izlerini silen ve zamanlanmış görevle hırsızı başlatan iki VBScript dosyası oluşturuyor. Alternatif zincirlerde, Windows kısayol dosyalarındaki (LNK) bir güvenlik açığı (CVE-2025-9491) kullanılarak PowerShell komutu çalıştırılıyor ve Python tabanlı BusySnake hırsızı devreye sokuluyor.

Teknik Analiz

BusySnake, statik analizi zorlaştırmak için çok sayıda kaçınma tekniği kullanıyor. C2 sunucusuyla iletişim kurup komut bekliyor. Pano verilerini çalma, dosyaları listeleme, belgeleri yükleme, ekran görüntüsü alma, klavye girişlerini kaydetme, kripto para cüzdan dosyalarını toplama, Telegram oturum bilgilerini çalma, Go2Tunnel ile ters SSH tüneli kurma, RustDesk kurulumu yapma ve tarayıcılardan çerez ve şifreleri çıkarma gibi yeteneklere sahip. Kaspersky, BusySnake'in yeni bir sürümünü de tespit etti; bu sürüm, C2 komutlarını yönetmek için bir görev yönetim çerçevesi içeriyor. Armored Likho'nun Eagle Werewolf ile bağlantısı, AquilaRAT ve BusySnake arasındaki benzerliklerden (C2'den görev alma, zamanlanmış görevle kalıcılık sağlama) kaynaklanıyor.

Paylaş: