Silent Lynx: новые кампании хакеров против Кыргызстана

Киберугрозы продолжают возрастать в Центральной Азии. APT-команда Seqrite Labs обнаружила две новые кампании, инициированные хакерской группой Silent Lynx, нацеленные на ключевые государственные структуры Кыргызстана, включая Национальный банк и Министерство финансов.
Методы атак Silent Lynx
Две кампании, организованные группой Silent Lynx, используют инновационные методы для осуществления атак:
- Первая кампания: Вредоносное вложение ISO-файла было отправлено через фишинговое электронное письмо. Данный файл содержал загрузчик на C++, который запускает сценарий PowerShell для удаленного доступа.
- Вторая кампания: Вредоносный имплантат Golang был доставлен через защищенный паролем RAR-файл. Хакер использовал скомпрометированные учетные записи электронной почты для распространения вредоносных файлов, маскируя их под законные документы.
Технический анализ вредоносного ПО
В ходе технического анализа было выявлено, что загрузчик на C++ выполняет сценарий PowerShell, закодированный в Base64. Это приводит к удаленному выполнению команд и утечке данных через Telegram-бота.
Имплантат на Golang во второй кампании функционировал как обратная оболочка, устанавливая связь с сервером управления. Хакер применял Telegram-бота для выполнения вредоносных действий и загрузки дополнительных данных, обеспечивая постоянный доступ через исполняемый файл, загруженный с удаленного сервера.
Связь с YoroTrooper
Анализ показал, что Silent Lynx имеет множество схожестей с казахстанской хакерской группой YoroTrooper, включая аналогичные инструменты и мотивацию, связанную со шпионажем, которая нацелена на государственные структуры Кыргызстана и соседних стран.
Таким образом, связь между Silent Lynx и YoroTrooper указывает на возможное совместное использование ресурсов, а также на привязку Silent Lynx к Казахстану.
Заключение
Кампании Silent Lynx демонстрируют сложные стратегии атаки, использующие разнообразные вредоносные файлы и Telegram-ботов для управления. Региональный таргетинг и совпадение с YoroTrooper подчеркивают нацеленность групп на шпионаж в Центральной Азии и указывают на растущую угрозу в регионе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



