Silent Lynx olarak bilinen daha önce belgelenmemiş bir tehdit aktörü, Kırgızistan ve Türkmenistan’daki çeşitli varlıkları hedefleyen siber saldırılarla bağlantılıdır.
Seqrite Labs araştırmacısı Subhajeet Singha, geçen ayın sonlarında yayınlanan bir teknik raporda, “Bu tehdit grubu daha önce Doğu Avrupa ve Orta Asya Hükümeti’nin ekonomik karar verme ve bankacılık sektöründe yer alan tankları düşündü.” Dedi.
Hacking grubunun saldırılarının hedefleri arasında elçilikler, avukatlar, devlet destekli bankalar ve düşünce tankları yer alıyor. Etkinlik, orta düzeyde güvene sahip bir Kazakistan-Origin tehdit oyuncusuna atfedildi.
Enfeksiyonlar, nihayetinde uzlaşmış ana bilgisayarlara uzaktan erişim sağlamaktan sorumlu kötü niyetli yükler için bir dağıtım aracı olarak işlev gören bir RAR arşivi eki içeren bir mızrak aktı e-postasıyla başlar.
27 Aralık 2024’te siber güvenlik şirketi tarafından tespit edilen iki kampanyanın ilki, kötü amaçlı bir C ++ ikili ve bir tuzak PDF dosyası içeren bir ISO dosyası başlatmak için RAR arşivinden yararlanır. Daha sonra yürütülebilir uygulanabilir, komut yürütme ve veri eksfiltrasyonu için telgraf botlarını (“@south_korea145_bot” ve “@south_afr_angl_bot”) kullanan bir PowerShell komut dosyası çalıştırmaya devam eder.
Botlar aracılığıyla yürütülen bazı komutlar, uzak bir sunucudan ek yükleri indirmek ve kaydetmek için curl komutları içerir (“Pweobmxdlboi[.]com “) veya Google Drive.
Diğer kampanya, aksine, iki dosya içeren kötü niyetli bir RAR arşivi kullanır: bir tuzak PDF ve bir Golang yürütülebilir Mayıs ayı, ikincisi saldırgan kontrollü bir sunucuya ters bir kabuk oluşturmak için tasarlanmıştır (“185.122.171[.]22: 8082 “).
Seqrite Labs, PowerShell ve Golang Tools kullanan Bağımsız Devletler (CIS) ülkelerini hedefleyen saldırılara bağlı olan tehdit oyuncusu ve Yorotrooper (diğer adıyla Sturgeonphisher) arasında bir miktar taktik örtüşme gözlemlediğini söyledi.
Singha, “Silent Lynx’in kampanyaları, ISO dosyaları, C ++ yükleyicileri, PowerShell komut dosyaları ve Golang implantlarını kullanarak sofistike bir çok aşamalı saldırı stratejisi gösteriyor.” Dedi.
Diyerek şöyle devam etti: “Orta Asya ve speca temelli ülkelerdeki casusluklara odaklanmalarını da vurgulayan tuzak belgeleri ve bölgesel hedefleme ile birleştiğinde, komuta ve kontrol için telgraf botlarına güvenmeleri.”