数据来源:New wave of targeted attacks of the Angry Likho APT on Russian organizations | Securelist (2025年2月21日)
一、事件概述:一个“低调而持续”的俄罗斯语系 APT 组织
Angry Likho(又名 Sticky Werewolf)是一个自2023年起持续活跃的高级持续性威胁(APT)组织。该组织与另一个名为 Awaken Likho 的攻击团伙具有高度相似的技术特征,卡巴斯基因此将其归类为“Likho 恶意活动集群”(Likho cluster)的一部分。
在2024年至2025年初的最新攻击活动中,Angry Likho 展现出更强的针对性和隐蔽性,其攻击目标主要集中在:
- 俄罗斯政府机构及其承包商;
- 大型国有企业员工;
- 关键基础设施相关单位。
与许多追求“0day漏洞”或“国家级破坏”的APT不同,Angry Likho 的战术更偏向精准情报窃取与长期潜伏,其核心武器已从早期的自研后门,转向使用成熟的商业窃密木马 Lumma Stealer,并结合高度定制化的社会工程手段,实现高效渗透。
二、攻击路径:从钓鱼邮件到内存注入
1. 初始入口:高度定制的鱼叉式钓鱼邮件
Angry Likho 的初始感染向量始终是鱼叉式钓鱼邮件(Spear Phishing),但其设计极具迷惑性。
- 邮件主题和正文使用流利的俄语,内容涉及政府项目、合同审批、人事通知等;
- 附件为一个自解压压缩包(SFX Archive),通常伪装成
FrameworkSurvivor.exe、doc_report.exe等看似正常的可执行文件; - 压缩包内包含:
- 一个诱饵文档(如PDF或Word),内容与邮件主题一致,用于降低用户警惕;
- 两个恶意LNK快捷方式文件,用于触发后续载荷。
📌 社会工程特点:
攻击者对俄罗斯政府和企业的内部流程非常熟悉,邮件语言自然、格式规范,极难被普通员工识别。
2. 感染链启动:LNK + AutoIt 脚本组合攻击
当用户运行自解压包并点击LNK文件后,攻击链正式激活。
典型执行流程:
- LNK 文件调用
AutoIt脚本解释器,执行一段高度混淆的.au3脚本; - 脚本首先调用
SetErrorMode()函数,屏蔽系统错误提示(如“文件损坏”、“无法加载”),防止用户察觉异常; - 解密并释放隐藏在资源中的第二阶段载荷;
- 将该载荷注入到合法进程中(如
explorer.exe),实现内存驻留。
🔍 技术亮点:
AutoIt 是一款合法的自动化脚本工具,常用于软件安装和系统配置,因其行为正常,常被安全产品忽略。
3. 最终载荷:Lumma Stealer 窃密木马上线
经过多层解密和反分析检测后,最终释放的载荷被确认为 Lumma Stealer(检测名为 Trojan-PSW.Win32.Lumma),一款功能强大的商业窃密木马。
Lumma Stealer 的核心能力:
| 窃取级别 | 具体内容 |
|---|---|
| 浏览器数据 | Chrome、Edge、Firefox、Brave、Opera 等主流浏览器的: |
| – 保存的用户名和密码 | |
| – Cookie 和会话信息 | |
| – 自动填充的银行卡号 | |
| – 浏览历史与下载记录 | |
| 加密货币钱包 | Binance、Ethereum 钱包文件;MetaMask、Authenticator 等浏览器插件数据 |
| 系统信息 | 主机名、IP地址、操作系统版本、已安装软件列表 |
| 远程访问工具 | AnyDesk、TeamViewer 等远程控制软件的配置和日志 |
| 密码管理器 | KeePass 数据库文件 |
📌 攻击目的明确:
不是为了破坏或勒索,而是为了长期、系统性地窃取高价值个人与机构敏感信息。
三、技术演进:从自研工具到“商业木马即服务”
1. 放弃自研,转向成熟窃密工具
早期 Angry Likho 使用自定义的 .NET 后门进行数据窃取,但从2024年开始,该组织逐步转向使用 Lumma Stealer 这类商业化的“窃密即服务”(Stealer-as-a-Service)工具。
转向原因分析:
- 开发成本低:无需投入资源开发和维护恶意代码;
- 更新频繁:Lumma 团队持续更新绕过检测的技术;
- 功能全面:支持多浏览器、多钱包、自动化打包上传;
- C2基础设施成熟:自带加密通信和命令控制服务器。
✅ 这种“借刀杀人”的策略,已成为近年来许多APT组织的新趋势。
2. 感染链高度模块化与混淆化
尽管使用了第三方木马,但 Angry Likho 的初始感染链仍保持高度定制化。
- 自解压包使用 Nullsoft Scriptable Install System(NSIS)构建,这是一种合法的开源安装器;
- 内部脚本经过多层Base64编码、字符串混淆和逻辑打乱;
- 新版本引入更多反分析机制,如检测虚拟机内存大小、调试器行为等。
📌 战术意图:
通过复杂的打包和混淆技术,规避基于哈希和YARA规则的静态检测,确保最终载荷能成功落地。
四、攻击目标与归因分析
✅ 受害者画像:
- 地理位置:绝大多数位于俄罗斯,少量在白俄罗斯;
- 行业分布:政府机构、国防承包商、大型国企;
- 语言环境:所有钓鱼材料均为俄语,且用词专业,符合官方语境。
🔍 攻击动机推测:
- 情报收集:获取政府项目细节、内部通讯、人员信息;
- 身份冒用:利用窃取的Cookie和密码登录内部系统;
- 金融变现:通过加密货币钱包和银行卡信息直接获利。
🔎 归因判断:谁是 Angry Likho?
虽然卡巴斯基未明确点名,但多项证据指向其可能与俄罗斯境内或亲俄背景的黑客组织有关:
| 证据 | 分析 |
|---|---|
| 攻击目标高度集中 | 主要针对俄罗斯政府和国企,非随机犯罪 |
| 语言能力极强 | 邮件和文档使用地道俄语,非机器翻译 |
| 与 Awaken Likho 高度相似 | 工具链、命名模式、基础设施重叠,可能为同一组织不同分支 |
| 使用商业窃密木马 | 符合“低成本、高效率”的间谍行动特征 |
✅ 综合判断:这是一次服务于特定情报需求的定向网络间谍行动,具备国家级APT的典型特征。
五、C2基础设施与IoC分析
卡巴斯基通过分析已知样本,识别出多个与 Angry Likho 相关的命令与控制(C2)服务器,多以 .shop 域名注册:
testdomain123123[.]shopuniedpureevenywjk[.]shopspotlessimminentys[.]shopspecialadventurousw[.]shopstronggemateraislw[.]shopwillingyhollowsk[.]shop
这些域名被用于:
- 托管恶意载荷(如
FrameworkSurvivor.exe); - 接收窃取的数据;
- 下发远程控制指令。
🔍 基础设施特点:
域名注册时间集中,C2地址复用率高,表明该组织资源有限但运营高效。
六、防御建议
✅ 企业应采取的措施:
| 措施 | 说明 |
|---|---|
| 禁用LNK文件自动运行 | 通过组策略关闭自动播放和快捷方式执行 |
| 限制AutoIt等脚本工具 | 在生产环境中禁用或监控autoit.exe的使用 |
| 部署EDR解决方案 | 检测内存注入、LNK调用脚本、异常网络外联等行为 |
| 加强邮件网关过滤 | 拦截带SFX自解压包的邮件,尤其是来自外部的exe附件 |
| 启用浏览器数据保护 | 禁用密码自动保存,使用独立的密码管理器 |
| 定期开展安全培训 | 教育员工识别“高可信度”钓鱼邮件,不随意运行未知程序 |
✅ 个人用户建议:
- 不打开来源不明的
.exe或.lnk文件; - 手动输入官网地址,而非点击邮件链接;
- 使用可靠的安全软件并保持更新。
七、趋势洞察:APT攻击的“平民化”与“商业化”
Angry Likho 的攻击模式揭示了现代APT的三大趋势:
| 趋势 | 表现 |
|---|---|
| 从“自研木马”到“商业窃密即服务” | 利用Lumma、RisePro等Stealer工具,降低技术门槛 |
| 从“广撒网”到“精准打击” | 针对特定国家、语言、行业的深度定制攻击 |
| 从“一次性攻击”到“周期性活跃” | 攻击呈现“休眠-爆发”模式,2024年6月和2025年1月均有新活动 |
这表明,今天的APT组织已不再是“神秘黑客”,而是具备项目管理能力的“网络雇佣军”。
八、结语
Angry Likho 的持续活跃提醒我们:
最危险的攻击,未必是最复杂的,而是最像“正常操作”的。
它不依赖0day漏洞,却能通过一个看似无害的自解压包,渗透进政府和企业的核心系统。其背后,是一个对目标文化、语言和流程了如指掌的对手。
面对这类“知根知底”的威胁,我们必须从“被动防御”转向“主动狩猎”,不仅要修补漏洞,更要理解攻击者的思维模式、社会工程逻辑和战术节奏。
唯有如此,才能在这场无声的网络战争中,守护我们的数字主权与信息安全。