Awaken Likho APT组织技术升级：从Golang到AutoIT，UltraVNC背后的“影子外交”

信息来源：Analyzing the Awaken Likho APT group implant: new tools and techniques | Securelist （2024年10月07日）

在高级持续性威胁（APT）的棋局中，有些攻击者不追求炫目的零日漏洞，而是凭借极简却高效的战术，在长达数年的时间里悄然渗透全球外交与政府机构。其中之一，便是自2021年起活跃的 Awaken Likho APT组织。这个以俄罗斯为主要目标的网络间谍团伙，近期被卡巴斯基发现其攻击链已全面升级——从Golang自解压包转向AutoIT脚本，并开始使用开源远程管理工具 MeshAgent 替代传统的UltraVNC，标志着其隐蔽性和适应能力迈上新台阶。

一、目标锁定：外交与政府机构的“长期潜伏者”

Awaken Likho自2021年7月首次被发现以来，始终专注于对政府机构及其承包商的定向攻击。截至目前，已确认超过120个目标，主要集中在俄罗斯，但也波及印度、中国、越南、台湾、土耳其、斯洛伐克、菲律宾、澳大利亚、瑞士和捷克等多个国家和地区。

该组织的攻击高度定制化，邮件诱饵内容常与目标国家的外交事务、政策动态或技术合作相关，显示出其背后具备深度情报支持与社会工程能力。

二、攻击链演化：从Golang到AutoIT的战术转型

Awaken Likho的攻击始于典型的鱼叉式钓鱼邮件，附件通常为包含恶意载荷的压缩包。近年来，其初始感染链经历了显著的技术迭代：

1. 早期阶段（2021–2023）：Golang SFX主导

• 使用Golang编写的自解压可执行文件（SFX）作为第一阶段投递器；
• 编译时加入大量无用代码（bloatware），以规避静态分析；
• 解压后释放UltraVNC客户端，并通过配置文件实现持久化。

2. 2024年5月：转向AutoIT脚本

• 攻击者弃用Golang SFX，改用AutoIT脚本进行载荷释放；
• 脚本功能包括：解压嵌入资源、创建启动项、执行最终载荷；
• 最终载荷仍为UltraVNC，但被伪装成“OneDrive更新工具”，进一步迷惑用户。

3. 2024年6月至今：引入MeshAgent，全面升级

• 在最新攻击中，攻击者开始使用 MeshAgent（开源远程管理工具）替代UltraVNC；
• MeshAgent具备更强的加密通信、跨平台支持和模块化扩展能力；
• 同时，攻击者开始使用Themida等商业加壳工具保护样本，显著增加逆向分析难度。

这一系列变化表明，Awaken Likho并非“低技术”团伙，而是能够根据防御环境快速调整战术的成熟APT组织。

三、核心工具分析：UltraVNC与MeshAgent的双重面孔

1. UltraVNC：长期使用的“合法后门”

• UltraVNC是一款开源远程桌面工具，常用于IT支持；
• Awaken Likho通过修改其配置文件（ultravnc.ini），设置监听端口、密码和自动启动；
• 持久化方式包括：
  • 注册表HKCU\Run自启动；
  • 创建计划任务，结合wscript.exe或mshta.exe执行。

“他们不制造工具，而是让合法工具为他们工作。”
——卡巴斯基研究员

2. MeshAgent：更隐蔽的下一代远程控制

• MeshAgent是MeshCentral远程管理平台的客户端，支持端到端加密；
• 攻击者通过修改其配置，连接至自建C2服务器；
• 相比UltraVNC，MeshAgent具备以下优势：
  • 通信流量更难被识别；
  • 支持插件化扩展（如文件管理、命令执行）；
  • 可绕过传统防火墙对RDP/VNC端口的监控。

四、基础设施特征：伪装成更新服务的C2网络

Awaken Likho的C2基础设施极具迷惑性，攻击者注册大量域名，并使用与软件更新服务高度相似的命名：

• update-govpk[.]co
• support-update[.]info
• pdfrdr-update[.]com
• office-drive[.]live

这些域名多由Namecheap、Hostinger等主流注册商提供，C2服务器则部署在短期租赁的VPS上，生命周期短，追踪困难。

更值得注意的是，部分C2通信通过Google Translate、OneDrive等合法服务代理，进一步规避检测。

五、归因分析：数字指纹指向已知威胁

尽管攻击工具不断更新，但Awaken Likho的“数字DNA”依然清晰：

• 目标一致性：长期聚焦俄罗斯政府及承包商；
• TTPs延续性：始终依赖合法远程工具实现持久控制；
• 基础设施重叠：部分域名与此前SideWinder、TetrisPhantom等组织使用的注册商和服务商相同；
• 社会工程风格：诱饵内容高度定制，反映对地缘政治的深刻理解。

综合判断，卡巴斯基以中高置信度确认该组织仍在活跃，并具备持续演进能力。

六、防御建议：应对Awaken Likho的五大关键措施

1. 禁用或限制远程管理工具：对UltraVNC、MeshAgent、AnyDesk等工具实施网络级管控；
2. 监控计划任务与WScript执行：阻止wscript.exe、mshta.exe从临时目录运行；
3. 加强邮件网关过滤：识别包含AutoIT脚本、Golang二进制文件的附件；
4. 启用应用白名单：仅允许签名可信的程序执行；
5. 部署EDR与行为分析：检测异常的远程连接、注册表修改和持久化行为。

结语：简单的工具，深远的威胁

Awaken Likho的案例再次证明：最危险的APT组织，未必使用最复杂的漏洞，而是最擅长利用“信任”。他们不开发零日exploit，却能将一个开源VNC工具变成贯穿数年的间谍通道。

从Golang到AutoIT，从UltraVNC到MeshAgent，这场持续三年的“影子外交”提醒我们：在网络安全中，持久性比技术炫技更重要，耐心比漏洞更致命。

“他们不需要被看见，只要能一直留在你的系统里。”
——来自对Awaken Likho的深度观察