一封看似来自政府部门的邮件,一个伪装成心理测试的压缩包,背后是一场针对政府与能源机构的精准钓鱼行动。Securelist研究员近期披露,被称为Armored Likho(也称Eagle Werewolf)的APT组织利用人工智能生成的恶意加载器,分发一款此前未被命名的新木马BusySnake。该行动已确认波及俄罗斯、巴西和哈萨克斯坦,目标直指敏感公共部门数据和关键电力服务。
此次攻击之所以值得拆解,不仅在于其地域跨度,更在于攻击者将生成式AI引入恶意软件开发流水线,为规避检测和难以归因创造了新条件。根据Securelist针对威胁情报平台Cyber Security News提供的报告,Armored Likho的历史活动兼具经济动机与网络间谍属性,而这一次,该组织在工具迭代上表现出更高的工程化倾向。
![]()
攻击的起点是高度定制的鱼叉邮件。这些邮件冒充官方通知、人道主义援助请求和社会福利项目,携带的附件为压缩包,内含恶意可执行文件或Windows快捷方式文件。一旦收件人打开附件,感染链便在用户无感知的情况下启动,同时呈现一份诱饵内容,像是心理测试问卷或一份无害文档,使整个过程看起来完全合法。
研究人员梳理出两条典型的感染路径。第一条路径中,受害者打开伪装成心理测试的压缩包,运行其中的可执行文件。程序会弹出一份伪造的问卷界面吸引注意力,同时在后台将恶意代码注入到其他进程,并访问在线仓库下载后续载荷。下载的文件被解包至用户AppData目录,攻击在静默中持续推进。第二条路径则利用精心构造的恶意LNK快捷方式,通过空格和换行符隐藏命令行活动。该快捷方式启动混淆后的命令和PowerShell进程,下载加载器、Python组件以及BusySnake载荷。在此过程中可能自动打开一份看似正常的文档,进一步蒙蔽用户。
让安全研究人员格外警觉的是,在这些早期阶段工具(加载器)的源代码中,出现了异常详尽的注释和项目符号表情符号,这些特征在完全由人类编写的恶意软件中极为罕见。这指向一个明确的可能:攻击者使用了大语言模型生成第一阶段的投递代码。借助AI,他们能够快速变换投递工具的外形和签名,使安全团队的归因检测更加困难。对于以高度重复性任务为主的初始攻击面,这种手段正成为持续威胁制造者的效率倍增器。
而加载器最终释放的BusySnake才是行动的核心。该木马具备全面的数据窃取能力:可窃取浏览器凭证、Cookie、剪贴板数据、本地文档、屏幕截图、加密货币相关数据以及Telegram会话文件。不仅如此,它还能接受操作者的远程指令。这意味着一次成功的钓鱼邮件之后,攻击者可实现长期驻留与持续数据回传,构成严重且持续的情报窃取风险。
BusySnake的自我保护手段也反映出其开发者的规避意识。它采用代码混淆和加密保护,仅在实际需要时解密相应函数。木马运行时不显示任何可见的控制台窗口,并通过计划任务保持活动状态。在新近样本中,恶意软件不再直接调用标准任务命令,而是改用Windows组件接口(COM接口)创建计划任务,这一调整明显意在降低被安全软件和行为监控规则发现的概率。
综合来看,此次Armored Likho行动揭示出一个清晰趋势:国家级网络威胁行为体正将AI辅助开发融入武器库迭代流程,降低定制木马的生产成本,同时增加防御方从代码指纹、编写风格等维度进行溯源的难度。对于涉及政府、能源等关键基础设施的机构而言,这起事件再次提醒:即便是一封措辞严谨、内容贴切的邮件,也可能是一个经过AI改良的数字化陷阱,而其后潜伏的是具备持久化控制能力的定制化窃密工具。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.