一封看似來自政府部門的郵件,一個偽裝成心理測試的壓縮包,背后是一場針對政府與能源機構的精準釣魚行動。Securelist研究員近期披露,被稱為Armored Likho(也稱Eagle Werewolf)的APT組織利用人工智能生成的惡意加載器,分發一款此前未被命名的新木馬BusySnake。該行動已確認波及俄羅斯、巴西和哈薩克斯坦,目標直指敏感公共部門數據和關鍵電力服務。
此次攻擊之所以值得拆解,不僅在于其地域跨度,更在于攻擊者將生成式AI引入惡意軟件開發流水線,為規避檢測和難以歸因創造了新條件。根據Securelist針對威脅情報平臺Cyber Security News提供的報告,Armored Likho的歷史活動兼具經濟動機與網絡間諜屬性,而這一次,該組織在工具迭代上表現出更高的工程化傾向。
![]()
攻擊的起點是高度定制的魚叉郵件。這些郵件冒充官方通知、人道主義援助請求和社會福利項目,攜帶的附件為壓縮包,內含惡意可執行文件或Windows快捷方式文件。一旦收件人打開附件,感染鏈便在用戶無感知的情況下啟動,同時呈現一份誘餌內容,像是心理測試問卷或一份無害文檔,使整個過程看起來完全合法。
研究人員梳理出兩條典型的感染路徑。第一條路徑中,受害者打開偽裝成心理測試的壓縮包,運行其中的可執行文件。程序會彈出一份偽造的問卷界面吸引注意力,同時在后臺將惡意代碼注入到其他進程,并訪問在線倉庫下載后續載荷。下載的文件被解包至用戶AppData目錄,攻擊在靜默中持續推進。第二條路徑則利用精心構造的惡意LNK快捷方式,通過空格和換行符隱藏命令行活動。該快捷方式啟動混淆后的命令和PowerShell進程,下載加載器、Python組件以及BusySnake載荷。在此過程中可能自動打開一份看似正常的文檔,進一步蒙蔽用戶。
讓安全研究人員格外警覺的是,在這些早期階段工具(加載器)的源代碼中,出現了異常詳盡的注釋和項目符號表情符號,這些特征在完全由人類編寫的惡意軟件中極為罕見。這指向一個明確的可能:攻擊者使用了大語言模型生成第一階段的投遞代碼。借助AI,他們能夠快速變換投遞工具的外形和簽名,使安全團隊的歸因檢測更加困難。對于以高度重復性任務為主的初始攻擊面,這種手段正成為持續威脅制造者的效率倍增器。
而加載器最終釋放的BusySnake才是行動的核心。該木馬具備全面的數據竊取能力:可竊取瀏覽器憑證、Cookie、剪貼板數據、本地文檔、屏幕截圖、加密貨幣相關數據以及Telegram會話文件。不僅如此,它還能接受操作者的遠程指令。這意味著一次成功的釣魚郵件之后,攻擊者可實現長期駐留與持續數據回傳,構成嚴重且持續的情報竊取風險。
BusySnake的自我保護手段也反映出其開發者的規避意識。它采用代碼混淆和加密保護,僅在實際需要時解密相應函數。木馬運行時不顯示任何可見的控制臺窗口,并通過計劃任務保持活動狀態。在新近樣本中,惡意軟件不再直接調用標準任務命令,而是改用Windows組件接口(COM接口)創建計劃任務,這一調整明顯意在降低被安全軟件和行為監控規則發現的概率。
綜合來看,此次Armored Likho行動揭示出一個清晰趨勢:國家級網絡威脅行為體正將AI輔助開發融入武器庫迭代流程,降低定制木馬的生產成本,同時增加防御方從代碼指紋、編寫風格等維度進行溯源的難度。對于涉及政府、能源等關鍵基礎設施的機構而言,這起事件再次提醒:即便是一封措辭嚴謹、內容貼切的郵件,也可能是一個經過AI改良的數字化陷阱,而其后潛伏的是具備持久化控制能力的定制化竊密工具。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.