Armored Likho: Nhóm tin tặc tấn công chính phủ và năng lượng với BusySnake Stealer
Nhóm tin tặc Armored Likho đang nhắm mục tiêu vào các cơ quan chính phủ và ngành điện tại Nga, Brazil và Kazakhstan bằng mã độc BusySnake Stealer tinh vi.
Một nhóm tin tặc mới được phát hiện có tên Armored Likho đang trở thành mối đe dọa đáng gờm đối với các cơ quan chính phủ và lĩnh vực năng lượng tại Nga, Brazil và Kazakhstan. Theo báo cáo từ Kaspersky, nhóm này kết hợp giữa các chiến dịch trục lợi tài chính cá nhân và hoạt động gián điệp mạng nhắm vào các tổ chức lớn.
Table Of Content
Phương thức tấn công tinh vi
Armored Likho sử dụng bộ công cụ đa dạng, bao gồm các loại RAT (Remote Access Trojan) và infostealer được làm rối (obfuscated) để vượt qua các hệ thống phân tích động. Một trong những công cụ chủ chốt là Go2Tunnel, giúp tin tặc duy trì kết nối bền vững và thiết lập đường hầm mạng (network tunneling) để kiểm soát máy chủ từ xa.
Các chuyên gia bảo mật nhận thấy sự tương đồng giữa Armored Likho và nhóm Eagle Werewolf (được BI.ZONE theo dõi từ tháng 5/2023). Cả hai đều có lịch sử tấn công các tổ chức quốc phòng, đặc biệt là những đơn vị sản xuất thiết bị bay không người lái (UAV), thông qua việc phát tán mã độc qua các kênh Telegram bị chiếm quyền kiểm soát.
BusySnake Stealer: Vũ khí mới
Điểm đáng chú ý nhất trong chiến dịch gần đây là sự xuất hiện của BusySnake Stealer, một loại mã độc viết bằng Python nhắm vào hệ điều hành Windows. Mã độc này có khả năng:
- Đánh cắp dữ liệu clipboard và cookie trình duyệt.
- Chụp ảnh màn hình và thu thập tệp tin hệ thống.
- Ghi lại thao tác bàn phím (keylogging).
- Cài đặt RustDesk để chiếm quyền điều khiển từ xa.
- Tự động hóa việc duy trì sự hiện diện (persistence) thông qua các tác vụ đã lên lịch (scheduled tasks).
Để tránh bị phát hiện, BusySnake sử dụng kỹ thuật giải mã bytecode ngay tại thời điểm thực thi hàm và chạy ngầm mà không hiển thị cửa sổ console.
Chuỗi tấn công và lỗ hổng bảo mật
Cuộc tấn công thường bắt đầu bằng email phishing giả mạo thông báo chính phủ. Người dùng bị lừa tải về các tệp RAR chứa mã độc dropper. Ngoài ra, nhóm này còn khai thác lỗ hổng CVE-2025-9491 liên quan đến cách Windows xử lý các tệp shortcut (LNK) để thực thi mã từ xa (RCE). Dù lỗ hổng này đã được Microsoft vá vào tháng 11/2025, nó vẫn là một phương thức ưa thích của nhiều nhóm tin tặc.
Kaspersky cũng lưu ý rằng các thành phần loader và stager giai đoạn đầu có dấu hiệu được tạo ra với sự hỗ trợ của các công cụ AI, thể hiện qua các đoạn mã dư thừa. Sự trưởng thành về kỹ thuật của Armored Likho, kết hợp với khả năng tùy biến công cụ (polymorphism), cho thấy đây là một đối thủ cần được các tổ chức đặc biệt lưu tâm trong thời gian tới.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.