Siber güvenlik uzmanları, Grup-IB tarafından yayınlanan kapsamlı bir araştırmada Shadowsilk adlı gelişmiş bir kalıcı tehdit (APT) kümesi keşfetti. En az 2023’ten bu yana, bu grup Orta Asya ve Asya-Pasifik bölgesindeki hükümet kurumlarını aktif olarak ihlal ediyor.
Grubun operasyonları, Temmuz 2025 itibariyle devam etmektedir, öncelikle veri açığa çıkmasına odaklanır, halka açık istismarların, penetrasyon testi yardımcı programlarının ve özel kötü amaçlı yazılımların karmaşık bir karışımını kullanır.
Shadowsilk’in altyapısı ve araç seti, yük getirisi için paylaşılan PowerShell komut dosyaları ve telgraf tabanlı komut ve kontrol (C2) mekanizmaları dahil olmak üzere daha önce belgelenmiş Yorotrooper kampanyaları ile önemli örtüşmeler sergiler.
Bununla birlikte, genişletilmiş analiz, daha geniş bir mağdur kapsamı ve nüanslı operasyonel profiller ortaya çıkardı ve Grup-IB’nin Shadowsilk’i farklı bir tehdit oyuncusu olarak sınıflandırmasını istedi.
CERT-KG ile ortak bir operasyon, bir sunucu görüntüsünün edinilmesini, grubun taktiklerini, tekniklerini ve prosedürlerini (TTPS) ortaya çıkarmasını, alt gruplarda işbirliği yapan Çin ve Rusça konuşan operatörlerin kanıtı da dahil olmak üzere.
Bu iki dilli kompozisyon, potansiyel bölgeler arası ittifakları önermektedir, ancak işbirliklerinin kesin doğası belirsizliğini korumaktadır.
Hükümet sektöründe ağırlıklı olarak 35’ten fazla kurban, yürütülebilir ürünler içeren şifre korumalı arşivler sunan kimlik avı e-postaları aracılığıyla ilk erişimi içeren saldırılarla tanımlanmıştır.
Bu ikili dosyalar, kayıt defteri modifikasyonları yoluyla kalıcılık oluşturur ve uzaktan komut yürütmeyi kolaylaştırır ve grubun gizli, uzun vadeli sızma konusundaki vurgusunun altını çizer.
Shadowsilk’in iki dilli operasyonları
El ele geçirilen sunucu görüntüsünün daha fazla adli incelemesi, SQLMAP, WPSCAN, FSCAN, Gobuster ve keşif ve güvenlik açığı taraması için açık kaynaklı penetrasyon test araçlarını entegre eden Shadowsilk’in çeşitli cephaneliğini vurguladı.
Grup, CVE-2018-7600 (Drupalgeddon2), CVE-2018-7602 ve CVE-2024-27956 gibi bilinen güvenlik açıklarından, metasploit ve kobalt gibi çerçevelerin ayrıcalık artış ve yan hareket için grevle birlikte yararlanır.
Özel öğeler arasında C2 için telgraf botları, gerçek zamanlı komut yayınlanmasını, veri eksfiltrasyonunu ve meşru messenger etkinliği olarak trafik gizlemesini etkinleştirme bulunur.
Operatörlerin iş istasyonlarından gelen ekran görüntüleri, Struts2vulstools ve Godzilla webshells gibi araçlar da dahil olmak üzere Çince arayüzleri ortaya çıkardı ve Çince konuşan üyelere ağ penetrasyonu ve iç keşifleri ele aldı.
Tersine, Rusça konuşan operatörler, Rus klavye düzenleri, komut yazımları (örneğin, “ekran -ls” için “ыску -ды”) ve kendi cihazlarında kobalt grev işaretlerinin test edilmesi ile kanıtlanmış kötü amaçlı yazılım geliştirme üzerine odaklanmıştır.
Özbek organizasyonlarındakiler gibi paylaşılan kurban ağları, alt gruplar arasındaki koordineli çabaları her iki bağlamda da aynı keşif notaları gösteriyor.
Kalıcılık, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RUN gibi kayıt defteri anahtarları ile korunurken, kimlik bilgisi erişimi krom şifre depolarını çalmayı ve yerel tuşları kullanarak şifresini çözmeyi içerir.
Sınırlama komut dosyaları, genellikle gizlenmiş PowerShell kodu, hassas dosyaları sistematik olarak arşivleyin ve pweobmxdlboi gibi alanlara yükleyin (örn. Docx, .xlsx, .pdf)[.]com, iletim için zip dosyalarına verileri sıkıştırma.
Grup ayrıca JRAT ve MORF Projesi gibi web panellerini Darkweb forumlarından satın aldı, bunları özel kötü amaçlı yazılım üreticileri geliştirmeden enfekte cihazları yönetmek için kullandı ve böylece operasyonel yükü azalttı.
Gelişen kampanyalar
Rapora göre, Shadowsilk’in kampanyaları, eski sunucuların terk edilmesini sağlayan Ocak 2025 “Sessiz Lynx” açıklaması gibi maruziyetleri takiben altyapı yenilemeleriyle uyarlanabilirlik gösteriyor.
Haziran 2025’e kadar yeni Telegram botları ve IP adresleri ortaya çıktı ve yük dağıtım için değiştirilmiş PowerShell komutları gibi prosedürel benzerlikleri korudu (örn.
Pessiltrasyonlu verilerin bir kısmı Darkweb forumlarında satışa sunuldu ve casusluk ötesinde olası para kazanma güdülerine işaret ediyor.
Savunma için kuruluşlar, kimlik avı vektörlerini engellemek için sağlam e -posta filtreleme uygulamalı, katı uygulama kontrollerini uygulamak ve sömürülen CVES için yamalar uygulamalıdır.
Proaktif tehdit avı, yönetilen genişletilmiş algılama ve yanıt (MXDR) çözümleri ile birleştiğinde, olağandışı kayıt defteri değişiklikleri veya telgraf trafiği gibi anomalileri tespit etmek için çok önemlidir.
Darkweb sızıntılarını izlemek ve tehdit istihbarat platformlarından yararlanmak, bu tür kalıcı tehditlere karşı esneklik sağlayarak erken uyarılar sağlayabilir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge | Tanım |
|---|---|---|
| İhtisas | pweobmxdlboi[.]com | Pessfiltrasyon uç noktası |
| İhtisas | belge[.]memleket[.]bulut | Yük dağıtım |
| Ivır zıvır | 141[.]98[.]82[.]198 | Panel barındırma |
| Doğramak | 471e1de3e1a7b0506f6492371a687cde4e278ed8 | Kötü amaçlı yazılım örneği |
| Doğramak | CA12E8975097D1591CDA08D095D4AF09B05DA83F | Kötü amaçlı yazılım örneği |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!