ShadowSilk 使用 Telegram 机器人攻击中亚和亚太地区的 35 个组织

一个名为 ShadowSilk 的威胁活动集群归因于一组针对中亚和亚太地区 （APAC） 政府实体的新攻击。

据 Group-IB 称，已确定近三打受害者，入侵主要针对数据泄露。该黑客组织与名为 YoroTrooper、SturgeonPhisher 和 Silent Lynx 的威胁行为者开展的活动共享工具集和基础设施重叠。

该组织运动的受害者遍布乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦和土库曼斯坦，其中大多数是政府组织，在较小程度上是能源、制造、零售和运输部门的实体。

研究人员尼基塔·罗斯托夫切夫（Nikita Rostovcev）和谢尔盖·特纳（Sergei Turner）表示：“该行动由双语团队运营——讲俄语的开发人员与传统的YoroTrooper代码相关联，而讲中文的运营商则带头进行入侵，从而形成了灵活的多区域威胁特征。“这两个子团体合作的确切深度和性质仍不确定。”

思科 Talos 于 2023 年 3 月首次公开记录了 YoroTrooper，详细介绍了至少自 2022 年 6 月以来针对欧洲政府、能源和国际组织的攻击。据信，该组织早在 2021 年就活跃了，根据 ESET。

同年晚些时候的后续分析显示，该黑客组织可能由来自哈萨克斯坦的个人组成，因为他们能说流利的哈萨克语和俄语，以及似乎故意避免针对该国实体的努力。

然后在今年 1 月初，Seqrite Labs 发现了一个名为 Silent Lynx 的对手精心策划的网络攻击，该对手挑出了吉尔吉斯斯坦和土库曼斯坦的多个组织。它还将威胁行为者描述为与 YoroTrooper 有重叠。

ShadowSilk 代表了威胁行为者的最新发展，利用鱼叉式网络钓鱼电子邮件作为初始访问载体来丢弃受密码保护的档案，从而丢弃自定义加载程序，将命令和控制 （C2） 流量隐藏在 Telegram 机器人后面，以逃避检测并提供额外的有效负载。持久性是通过修改 Windows 注册表以在系统重新启动后自动运行它们来实现的。

威胁行为者还利用 Drupal （CVE-2018-7600 和 CVE-2018-76020） 和 WP-Automatic WordPress 插件 （CVE-2024-27956） 的公开漏洞，同时利用包含侦察和渗透测试工具的多样化工具包，例如 FOFA、Fscan、Gobuster、Dirsearch、Metasploit 和 Cobalt Strike。

此外，ShadowSilk 还将从暗网论坛获取的 JRAT 和 Morf Project 网络面板纳入其武器库，用于管理受感染的设备，以及用于窃取 Chrome 密码存储文件和相关解密密钥的定制工具。另一个值得注意的方面是它破坏合法网站来托管恶意负载。

研究人员表示：“一旦进入网络，ShadowSilk 就会部署 Web shell [如 ANTSWORD、Behinder、Godzilla 和 FinalShell]、基于 Sharp 的后利用工具以及 Resocks 和 Chisel 等隧道实用程序，以横向移动、提升权限和虹吸数据。

据观察，这些攻击为基于 Python 的远程访问木马 （RAT） 铺平了道路，该木马可以接收命令并将数据泄露到 Telegram 机器人，从而允许恶意流量伪装成合法的信使活动。Cobalt Strike 和 Metasploit 模块用于抓取屏幕截图和网络摄像头图片，而自定义 PowerShell 脚本会扫描与预定义扩展名列表匹配的文件，并将它们复制到 ZIP 存档中，然后将其传输到外部服务器。

这家新加坡公司评估称，YoroTrooper 组织的运营商精通俄语，并且可能从事恶意软件开发和促进初始访问。

然而，它补充说，一系列捕获攻击者工作站的屏幕截图——包括活动键盘布局的图像、吉尔吉斯斯坦政府网站自动翻译成中文以及中文漏洞扫描程序——表明涉及一名讲中文的运营商。

“最近的行为表明该组织仍然高度活跃，最近在 7 月份才发现了新的受害者，”Group-IB 说。“ShadowSilk 继续关注中亚和更广泛的亚太地区的政府部门，强调监控其基础设施以防止长期泄露和数据泄露的重要性。”