Olarak bilinen bir tehdit etkinliği kümesi Gölgeli Orta Asya ve Asya-Pasifik’teki (APAC) hükümet kuruluşlarını hedefleyen yeni bir saldırılara atfedildi.
Grup-Ib’e göre, yaklaşık üç düzine kurban tanımlanmıştır ve girişler esas olarak veri açığa çıkmasına yöneliktir. Hacking Grubu, Yorotrooper, Sturgeonphisher ve Silent Lynx olarak adlandırılan tehdit aktörleri tarafından üstlenilen kampanyalarla araç setini ve altyapı örtüşüyor.
Grubun kampanyalarının kurbanları, çoğunluğu hükümet kuruluşları olan Özbekistan, Kırgızistan, Myanmar, Tacikistan, Pakistan ve Türkmenistan ve daha az ölçüde enerji, imalat, perakende ve ulaşım sektörlerindeki kuruluşları kapsıyor.
Araştırmacılar Nikita Rostovcev ve Sergei Turner, “Operasyon, iki dilli bir mürettebat-eski Yorotrooper koduna bağlı Rusça konuşan geliştiriciler ve intraution’lara yönelik Çince konuşan operatörler, çevik, çok bölgeli bir tehdit profiline neden oluyor.” Dedi. “Bu iki alt grubun işbirliğinin kesin derinliği ve doğası hala belirsiz kalıyor.”
Yorotrooper ilk olarak Mart 2023’te Cisco Talos tarafından halka açık bir şekilde belgelendi ve en az Haziran 2022’den beri Avrupa’daki hükümet, enerji ve uluslararası kuruluşları hedefleyen saldırıları detaylandırdı. Grubun ESET’e göre 2021’e kadar aktif olduğuna inanılıyor.
O yılın ilerleyen dönemlerinde, hack grubunun muhtemelen Kazak ve Rusya’daki akıcılıklarına dayanarak Kazakistan’dan bireylerden ve ülkedeki varlıkları hedeflemekten kaçınmak için kasıtlı çabalar gibi göründüğünü ortaya koydu.
Daha sonra bu Ocak ayının başlarında, Seqrite Labs, Kırgızistan ve Türkmenistan’daki çeşitli organizasyonları seçen Sessiz Lynx olarak adlandırılan bir düşman tarafından düzenlenen siber saldırıları ortaya çıkardı. Ayrıca tehdit oyuncusu Yorotrooper ile örtüşen olarak nitelendirdi.
Shadowsilk, tehdit oyuncusunun en son evrimini temsil eder ve mızrak-akma e-postalarını, algılamadan kaçınmak ve ek yükleri sağlamak için telgraf botlarının arkasındaki komut ve kontrol (C2) trafiğini bırakmak için şifre korumalı arşivleri bırakmak için başlangıç erişim vektörü olarak kullanır. Kalıcılık, bir sistem yeniden başlatıldıktan sonra bunları otomatik olarak çalıştırmak için Windows kayıt defterini değiştirerek elde edilir.
Tehdit oyuncusu ayrıca Drupal (CVE-2018-7600 ve CVE-2018-76020 ve WP-otomatik WordPress eklentisi (CVE-2024-27956) için kamuya açık istismarlar kullanır (CVE-2024-27956), çeşitli bir araç seti ile birlikte, fofa ve fscansta gibi kobal, kavga, direk gibi kobot, kavanoz ve metasat gibi kobotlardan oluşur, Çarpmak.
Ayrıca, Shadowsilk, enfekte cihazları yönetmek için Darknet forumlarından edinilen Arsenal JRAT ve MORF Project Web panellerine ve krom şifre depolama dosyalarını ve ilişkili şifre çözme anahtarını çalmak için ısmarlama bir araç içine dahil etti. Bir diğer dikkate değer yönü, kötü niyetli yükleri barındırmak için meşru web sitelerinden ödün vermesidir.
“Bir ağın içine girdikten sonra Shadowsilk, web mermilerini dağıtır [like ANTSWORD, Behinder, Godzilla, and FinalShell]Keskin Tabanlı Sıkıştırma Sonrası Araçlar ve Restocks ve Kesme gibi tünelleme yardımcı programları yanal olarak hareket etmek, ayrıcalıkları ve sifon verilerini artırmak için. “Dedi.
Saldırılar, bir telgraf botuna komut alabilen ve verileri bir telgraf botuna verebilen Python tabanlı bir uzaktan erişim Truva (sıçan) için yol açarak gözlemlendi, böylece kötü amaçlı trafiğin meşru haberci etkinliği olarak gizlenmesine izin verdi. Kobalt grev ve metasploit modülleri ekran görüntüleri ve web kamerası resimlerini almak için kullanılırken, özel bir PowerShell komut dosyası önceden tanımlanmış bir uzatma listesi ile eşleşen dosyaları tarar ve daha sonra harici bir sunucuya iletilen bir fermuarlı arşive kopyalar.
Singapur şirketi, Yorotrooper Grubu operatörlerinin Rusça’da akıcı olduğunu ve muhtemelen kötü amaçlı yazılım geliştirme ve başlangıç erişimi ile uğraştığını değerlendirdi.
Bununla birlikte, saldırganların iş istasyonlarından birini yakalayan bir dizi ekran görüntüsü-aktif klavye düzeninin görüntüleri, Kırgızistan hükümet web sitelerinin Çin’e otomatik olarak çevirisi ve Çince bir güvenlik açığı tarayıcısı-Çince konuşan bir operatörün katılımını gösteriyor.
Grup-IB, “Son davranışlar, grubun oldukça aktif kaldığını, yeni kurbanların Temmuz ayı kadar yakın zamanda tespit edildiğini gösteriyor.” Dedi. “Shadowsilk, Orta Asya’daki hükümet sektörüne ve daha geniş APAC bölgesine odaklanmaya devam ediyor ve uzun vadeli uzlaşmayı ve veri ortaya çıkmayı önlemek için altyapısını izlemenin öneminin altını çiziyor.”