B
今週中
新しく特定された脅威アクター「Armored Likho」が、ロシア、ブラジル、カザフスタンの政府機関や電力セクターを標的に攻撃を行っています
📌 一言でいうと
新しく特定された脅威アクター「Armored Likho」が、ロシア、ブラジル、カザフスタンの政府機関や電力セクターを標的に攻撃を行っています。このグループは、金銭目的のキャンペーンと組織へのサイバースパイ活動を使い分けており、動的解析を回避する難読化されたモジュール型RATやインフォスティーラー「BusySnake」を使用します。また、リモートアクセスやネットワークトンネリングのためにGo2Tunnelなどのツールを併用し、持続的なアクセスを維持します。
🔍該当判定
- ロシア、ブラジル、カザフスタンのいずれかの国で事業を展開している
- 政府機関または電力業界(発電・送電・配電)に従事している
- 社内ネットワークでGo2Tunnelなどのトンネリングツールを利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なメールの添付ファイルやリンクを避け、エンドポイント検出および応答 (EDR) ツールを用いて、Go2Tunnelなどの不審なトンネリングツールの実行や異常なネットワークトラフィックを監視してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】新脅威アクター Armored Likho による攻撃キャンペーンについて
お疲れさまです。新しく特定された脅威アクター Armored Likho に関する情報共有です。
■ 概要
政府機関や電力セクターを標的としたサイバースパイ活動が確認されています。攻撃者は「BusySnake」というインフォスティーラーや、動的解析を回避する難読化されたモジュール型RATを使用します。また、ネットワークトンネリングツール「Go2Tunnel」を用いて持続的なアクセスを確保する傾向があります。
■ 影響範囲
- 政府機関、電力インフラ組織(特にロシア、ブラジル、カザフスタンで観測)
■ 対応手順
1. ネットワーク内で Go2Tunnel 等の不審なトンネリングツールの利用がないかログを確認してください。
2. EDR等の監視ツールにて、難読化された不審なバイナリの実行や、不自然な外部通信を検知するルールを適用してください。
3. 権限管理を徹底し、特権アカウントの認証強化(MFA)を再確認してください。
■ 参考情報
- Kaspersky Technical Analysis
対応優先度: 中
対応期限: 随時
お疲れさまです。新しく特定された脅威アクター Armored Likho に関する情報共有です。
■ 概要
政府機関や電力セクターを標的としたサイバースパイ活動が確認されています。攻撃者は「BusySnake」というインフォスティーラーや、動的解析を回避する難読化されたモジュール型RATを使用します。また、ネットワークトンネリングツール「Go2Tunnel」を用いて持続的なアクセスを確保する傾向があります。
■ 影響範囲
- 政府機関、電力インフラ組織(特にロシア、ブラジル、カザフスタンで観測)
■ 対応手順
1. ネットワーク内で Go2Tunnel 等の不審なトンネリングツールの利用がないかログを確認してください。
2. EDR等の監視ツールにて、難読化された不審なバイナリの実行や、不自然な外部通信を検知するルールを適用してください。
3. 権限管理を徹底し、特権アカウントの認証強化(MFA)を再確認してください。
■ 参考情報
- Kaspersky Technical Analysis
対応優先度: 中
対応期限: 随時
Subject: [Intel] Threat Actor Armored Likho Targeting Government and Power Sectors
Dear Team,
We are sharing intelligence regarding a newly identified threat actor, Armored Likho.
■ Overview
Armored Likho is conducting cyber espionage and financially motivated attacks against government agencies and the electric power sector. The group utilizes the "BusySnake" infostealer and obfuscated modular RATs designed to evade dynamic analysis. They are also known to use Go2Tunnel for remote access and network tunneling to maintain persistence.
■ Scope
- Government agencies and electric power sector organizations (observed in Russia, Brazil, and Kazakhstan).
■ Recommended Actions
1. Monitor network logs for the use of unauthorized tunneling tools such as Go2Tunnel.
2. Update EDR/SIEM detection rules to identify obfuscated binaries and anomalous outbound traffic patterns.
3. Review and enforce Multi-Factor Authentication (MFA) for all privileged accounts.
■ Reference
- Kaspersky Technical Analysis
Priority: Medium
Deadline: Ongoing
Dear Team,
We are sharing intelligence regarding a newly identified threat actor, Armored Likho.
■ Overview
Armored Likho is conducting cyber espionage and financially motivated attacks against government agencies and the electric power sector. The group utilizes the "BusySnake" infostealer and obfuscated modular RATs designed to evade dynamic analysis. They are also known to use Go2Tunnel for remote access and network tunneling to maintain persistence.
■ Scope
- Government agencies and electric power sector organizations (observed in Russia, Brazil, and Kazakhstan).
■ Recommended Actions
1. Monitor network logs for the use of unauthorized tunneling tools such as Go2Tunnel.
2. Update EDR/SIEM detection rules to identify obfuscated binaries and anomalous outbound traffic patterns.
3. Review and enforce Multi-Factor Authentication (MFA) for all privileged accounts.
■ Reference
- Kaspersky Technical Analysis
Priority: Medium
Deadline: Ongoing