Angry Likho (отдельные вендоры ее именуют Sticky Werewolf) — это APT-группа, за которой мы наблюдаем с 2023 года. Она очень похожа на Awaken Likho, о которой мы писали ранее, — поэтому ее мы также отнесли к кластеру вредоносной активности Likho. Однако атаки Angry Likho больше похожи на целевые: они имеют более компактную инфраструктуру, ограниченное количество видов имплантов, а их целями являются сотрудники крупных корпораций: государственных организаций и их подрядчиков. Поскольку файлы-приманки написаны на грамотном русском языке, мы полагаем, что атакующие являются носителями русского языка.
Мы обнаружили сотни жертв этой атаки в России, несколько жертв в Беларуси, а также ряд инцидентов в других странах. Мы убеждены, что главные цели злоумышленников находятся в России и Беларуси, а остальные жертвы случайны — полагаем, что в их число могли попасть исследователи, использующие песочницы или выходные узлы Tor- и VPN-сетей.
В начале 2024 года несколько вендоров опубликовали отчеты об Angry Likho. Однако в июне прошлого года мы обнаружили новые атаки этой группы, а в январе 2025-го — характерные файлы с вредоносной полезной нагрузкой, что подтверждает дальнейшее развитие активности злоумышленников на момент исследования.
Оглавление
Технические детали
Начальный вектор атаки
Начальный вектор атаки группы Angry Likho — это однотипные спирфишинговые письма с различными вложениями. Далее представлен пример такого письма с вредоносным RAR-архивом.
Архив содержит 2 вредоносных LNK-файла и легитимный файл-приманку.
Содержимое этого документа почти полностью повторяет тело спирфишингового письма.
Этот пример наглядно демонстрирует вектор получения доступа к системам жертв. Отметим, что все такие письма (и другие им подобные в нашей коллекции) датированы начиная с апреля 2024 года. Мы не наблюдали признаков активности этой группы позднее, пока не нашли необычный имплант, который описан ниже. По данным нашей телеметрии, злоумышленники проводят кампании с определенной периодичностью: на некоторое время приостанавливают деятельность, после чего возобновляют ее, незначительно меняя техники.
Ранее неизвестный имплант группы Angry Likho
Мы смогли найти очень интересный имплант этой APT. Первый раз мы его обнаружили в июне 2024 года. Этот имплант распространялся под названием FrameworkSurvivor.exe со следующего URL:
hxxps://testdomain123123[.]shop/FrameworkSurvivor.exe
Отметим, что имплант создан при помощи легитимного инсталлятора с открытым исходным кодом Nullsoft Scriptable Install System и является самораспаковывающимся архивом (SFX). Такую технику мы уже видели во многих кампаниях Awaken Likho.
Далее представлено содержимое архива, открытого при помощи архиватора 7-Zip.
В архиве находится всего одна папка $INTERNET_CACHE со множеством файлов без расширений.
Установочный скрипт самораспаковывающегося архива
Нам необходимо найти и изучить установочный скрипт SFX-архива, чтобы определить механизм заражения при его запуске. Последние версии 7-Zip не позволяют извлечь этот скрипт, но это можно выполнить в старых версиях архиватора. Для извлечения установочного скрипта откроем архив в 7-Zip версии 15.05 (последняя версия, которая поддерживала извлечение установочного скрипта):
Установочный скрипт назывался [NSIS].nsi и был частично обфусцирован.
Выполнив деобфускацию, мы смогли определить его основное назначение:
Мы видим, что этот скрипт ищет папку по макросу $INTERNET_CACHE в системе жертвы, распаковывает в нее все файлы из архива, переименовывает файл Helping в Helping.cmd и запускает его.
Командный файл Helping.cmd
Ниже представлено содержимое файла Helping.cmd:
Этот файл сильно обфусцирован: на каждую команду скрипта приходится по несколько мусорных строк бессодержательного текста. После деобфускации логика этого скрипта становится понятной (ниже представлен код, в котором мы видоизменили некоторые строки для удобства чтения):
Скрипт Helping.cmd запускает легитимный интерпретатор AutoIt — Child.pif — с файлом i.a3x в качестве параметра. i.a3x содержит скомпилированный AU3-скрипт. Зная это, мы можем предположить, что именно в нем реализована основная логика вредоносного импланта.
AU3-скрипт
Чтобы восстановить оригинальный AU3-файл, который был использован при создании файла i.a3x, мы создали исполняемый файл-болванку с простым AutoIt-скриптом, заменили содержимое этого скрипта на содержимое файла i.a3x и использовали специальную утилиту для восстановления оригинального AU3-скрипта.
В результате мы получили исходный AU3-файл:
Скрипт сильно обфусцирован, все строки зашифрованы. Выполнив деобфускацию и расшифровку кода, мы можем приступить к его изучению. Скрипт начинается с нескольких проверочных процедур:
Скрипт проверяет артефакты, которые могут принадлежать эмуляторам и исследовательским окружениям вендоров защитных решений, и в случае соответствия заданному условию завершает работу либо выполняется с задержкой в 10 000 мс, чтобы избежать детектирования.
Примечательно, что подобные проверочные процедуры мы уже видели в имплантах Awaken Likho. Сходство атак этих двух APT позволяет нам предположить, что злоумышленники, стоящие за ними, используют общие технологии либо это одна и та же группа, которая применяет разные инструменты для разных задач и жертв.
Далее скрипт устанавливает режим обработки ошибок (Error Mode) путем вызова функции SetErrorMode() из библиотеки kernel32.dll с флагами SEM_NOALIGNMENTFAULTEXCEPT, SEM_NOGPFAULTERRORBOX и SEM_NOOPENFILEERRORBOX, чтобы скрыть сообщения и отчеты об ошибках в системе. Скрипт завершает работу, если вызов был неудачным.
После этого скрипт удаляет себя с жесткого диска путем вызова функции FileDelete(«i») и формирует огромный блок текста, как показано ниже.
Этот код — предположительно, шелл-код, который будет загружен в память и выполнен, однако он тоже упакован и зашифрован. После его распаковки и расшифровки AU3-скрипт пытается внедрить вредоносную полезную нагрузку в легитимный процесс AutoIt.
Главная полезная нагрузка
Чтобы получить шелл-код, мы решили сохранить дамп расшифрованной и распакованной полезной нагрузки, когда вся работа по ее подготовке уже выполнена вредоносным AU3-скриптом. Удалив ненужные байты из дампа, мы получили оригинальную полезную нагрузку этой атаки. Оказалось, что это не шелл-код, а полноценный исполняемый MZ-PE-файл.
Наши продукты детектируют эту полезную нагрузку со следующими вердиктами:
HEUR:Trojan.MSIL.Agent.pef
HEUR:Trojan.Win32.Generic
Мы изучили эту полезную нагрузку и пришли к выводу, что это троянец-стилер Lumma (Trojan-PSW.Win32.Lumma).
Стилер Lumma собирает данные о системе и установленных программах со скомпрометированных устройств, а также такую конфиденциальную информацию, как файлы cookie, имена пользователей и их пароли, номера банковских карт и сведения из журнала подключений. Кроме того, зловред крадет данные из 11 браузеров (Chrome, Chromium, Edge, Kometa, Vivaldi, Brave, Opera Stable, Opera GX Stable, Opera Neon, Mozilla Firefox и Waterfox), а также данные криптовалютных кошельков, например Binance и Ethereum. В дополнение к этому, мы отмечаем эксфильтрацию данных из расширений браузеров с функциональностью криптокошельков (MetaMask) и аутентификаторов (Authenticator). Помимо этого, Lumma собирает данные из таких приложений, как ПО для удаленного доступа AnyDesk и менеджер паролей KeePass.
Командные серверы
Этот образец содержит закодированные и зашифрованные адреса командных серверов. Мы воспользовались простейшей процедурой расшифровки в коде исполняемого файла и смогли восстановить оригинальные имена доменов, выступающих в качестве командных серверов:
averageorganicfallfaw[.]shop
distincttangyflippan[.]shop
macabrecondfucews[.]shop
greentastellesqwm[.]shop
stickyyummyskiwffe[.]shop
sturdyregularrmsnhw[.]shop
lamentablegapingkwaq[.]shop
Innerverdanytiresw[.]shop
standingcomperewhitwo[.]shop
Зная имена командных серверов из этого вредоносного варианта, мы смогли найти связанные с ним другие образцы. В результате мы обнаружили более 60 вредоносных имплантов. Некоторые из них имели ту же полезную нагрузку, и нам удалось найти дополнительные командные серверы злоумышленников (перечисленные ниже адреса использовались в найденных образцах совместно с оригинальными командными серверами):
uniedpureevenywjk[.]shop
spotlessimminentys[.]shop
specialadventurousw[.]shop
stronggemateraislw[.]shop
willingyhollowsk[.]shop
handsomelydicrwop[.]shop
softcallousdmykw[.]shop
Мы убеждены, что главные цели этой APT-группы — кража чувствительных данных при помощи стилеров и установление полного контроля над зараженной машиной за счет вредоносных утилит удаленного администрирования.
Новая активность
Мы фиксируем атаки описанной выше кампании с июня 2024 года. Однако в январе 2025 года атакующие продемонстрировали новый всплеск активности, о котором написали наши коллеги из компании F6 (ранее известной как F.A.C.C.T.). Мы исследовали опубликованные ими индикаторы компрометации и обнаружили активность, которая может свидетельствовать о новой потенциальной волне атак, подготовка к которым, согласно данным нашего анализа, идет как минимум с 16 января 2025 года:
Нам удалось скачать вредоносные файлы, размещенные в репозиториях, замеченных в январской атаке Angry Likho, пока они были доступны. Анализ файлов test.jpg и test2.jpg показал, что они содержат одинаковую полезную нагрузку на .NET, закодированную при помощи Base64. В прошлом году мы уже описывали атаки Angry Likho с использованием файлов с изображениями, в коде которых содержится зловред. Более того, названия таких файлов совпадают с названиями обнаруженных нами образцов.
Это еще раз подтверждает, что группа Angry Likho, стоящая за описанными атаками, активна на сегодняшний день. Мы продолжаем мониторинг этой угрозы и предоставляем актуальные данные киберразведки о ней и применяемых группировкой TTP.
Жертвы
На момент исследования, согласно данным нашей телеметрии, были обнаружены сотни жертв в России и несколько жертв в Беларуси. Большинство SFX-архивов имеют русскоязычные имена и содержат файлы-приманки на русском, тематически связанные с государственными учреждениями в РФ. Именно такие учреждения и их подрядчики стали основными жертвами описанной кампании.
Атрибуция
Мы с высокой степенью уверенности относим эту кампанию к APT-группе Angry Likho. Она имеет определенные сходства с находками наших коллег из компаний BI.ZONE и F6, а также предыдущими атаками группы.
Та же структура начального импланта (вложенный в письмо архив с похожим содержимым).
Документы-приманки имеют схожие черты, почти все написаны на русском языке и следуют тому же принципу именования, а также затрагивают одинаковые темы.
Командные файлы и AutoIt-скрипты для установки импланта в систему обфусцированы аналогичным образом. Более поздние версии содержат усложненные установочные скрипты: атакующие добавили новые уровни обфускации для затруднения анализа зловреда.
Имплант, описанный в этой статье, содержит известную полезную нагрузку — стилер Lumma (Trojan-PSW.Win32.Lumma). Ранее мы не видели этот инструмент в кампаниях Angry Likho, однако в предыдущих атаках мы отмечали эксфильтрацию аналогичных данных и полагаем, что злоумышленники по-прежнему нацелены на файлы криптокошельков и учетные данные пользователей.
Заключение
Мы продолжаем наблюдать за активностью APT Angry Likho, нацеленной на российские организации. Полезной нагрузкой в новых атаках этой группы стал стилер Lumma — он собирает множество данных с зараженного устройства, от банковских реквизитов из браузеров до файлов криптокошельков. Сложная цепочка заражения, как и раньше, была помещена в самораспаковывающийся архив, который распространялся по электронной почте. Мы считаем, что злоумышленники создавали спирфишинговые письма специально под конкретных пользователей, поскольку они использовали файлы-приманки, которые могут быть интересны потенциальной жертве. Нам также удалось найти дополнительные вредоносные образцы, связанные с этой кампанией, на основании общих командных серверов и репозиториев.
Подводя итоги, мы можем выделить следующие примечательные особенности этой и ряда других похожих кампаний.
Техники атак достаточно однотипны: со временем приемы, используемые злоумышленниками, меняются незначительно. Однако необходимо подчеркнуть, что этого достаточно для достижения целей атакующих.
Злоумышленники могут приостанавливать активность, однако по прошествии определенного периода времени обычно возвращаются с новой волной атак.
В качестве инструментария злоумышленники используют доступные вредоносные утилиты, которые можно приобрести на специализированных форумах в даркнете. Самостоятельно они проделывают лишь малую часть работы: написание компонентов механизма доставки зловреда на устройство жертвы и целевую рассылку имплантов.
Для защиты от подобных атак организациям необходимо комплексное решение, обеспечивающее проактивный поиск угроз, круглосуточный мониторинг и обнаружение инцидентов. Наша линейка продуктов для бизнеса позволяет выявлять и останавливать атаки любой сложности на ранних стадиях, а также предоставляет актуальные данные о киберугрозах. Отметим, что начальным вектором атак, описываемых в этой статье, являются фишинговые письма, что подчеркивает актуальность регулярного обучения и повышения осведомленности сотрудников в области обеспечения безопасности корпоративной среды.
Индикаторы компрометации
Файловые хэши
Импланты
f8df6cf748cc3cf7c05ab18e798b3e91
ef8c77dc451f6c783d2c4ddb726de111
de26f488328ea0436199c5f728ecd82a
d4b75a8318befdb1474328a92f0fc79d
ba40c097e9d06130f366b86deb4a8124
b0844bb9a6b026569f9baf26a40c36f3
89052678dc147a01f3db76febf8441e4
842f8064a81eb5fc8828580a08d9b044
7c527c6607cc1bfa55ac0203bf395939
75fd9018433f5cbd2a4422d1f09b224e
729c24cc6a49fb635601eb88824aa276
69f6dcdb3d87392f300e9052de99d7ce
5e17d1a077f86f7ae4895a312176eba6
373ebf513d0838e1b8c3ce2028c3e673
351260c2873645e314a889170c7a7750
23ce22596f1c7d6db171753c1d2612fe
0c03efd969f6d9e6517c300f8fd92921
277acb857f1587221fc752f19be27187
Полезная нагрузка
faa47ecbcc846bf182e4ecf3f190a9f4
d8c6199b414bdf298b6a774e60515ba5
9d3337f0e95ece531909e4c8d9f1cc55
6bd84dfb987f9c40098d12e3959994bc
6396908315d9147de3dff98ab1ee4cbe
1e210fcc47eda459998c9a74c30f394e
fe0438938eef75e090a38d8b17687357
Файлы-приманки
e0f8d7ec2be638fbf3ddf8077e775b2d
cdd4cfac3ffe891eac5fb913076c4c40
b57b13e9883bbee7712e52616883d437
a3f4e422aecd0547692d172000e4b9b9
9871272af8b06b484f0529c10350a910
97b19d9709ed3b849d7628e2c31cdfc4
8e960334c786280e962db6475e0473ab
76e7cbab1955faa81ba0dda824ebb31d
7140dbd0ca6ef09c74188a41389b0799
5c3394e37c3d1208e499abe56e4ec7eb
47765d12f259325af8acda48b1cbad48
3e6cf927c0115f76ccf507d2f5913e02
32da6c4a44973a5847c4a969950fa4c4
Вредоносные домены
testdomain123123[.]shop
averageorganicfallfaw[.]shop
distincttangyflippan[.]shop
macabrecondfucews[.]shop
greentastellesqwm[.]shop
stickyyummyskiwffe[.]shop
sturdyregularrmsnhw[.]shop
lamentablegapingkwaq[.]shop
innerverdanytiresw[.]shop
standingcomperewhitwo[.]shop
uniedpureevenywjk[.]shop
spotlessimminentys[.]shop
specialadventurousw[.]shop
stronggemateraislw[.]shop
willingyhollowsk[.]shop
handsomelydicrwop[.]shop
softcallousdmykw[.]shop
Securelist