Silent Lynx: новые кампании хакеров против Кыргызстана

Silent Lynx: новые кампании хакеров против Кыргызстана

Киберугрозы продолжают возрастать в Центральной Азии. APT-команда Seqrite Labs обнаружила две новые кампании, инициированные хакерской группой Silent Lynx, нацеленные на ключевые государственные структуры Кыргызстана, включая Национальный банк и Министерство финансов.

Методы атак Silent Lynx

Две кампании, организованные группой Silent Lynx, используют инновационные методы для осуществления атак:

  • Первая кампания: Вредоносное вложение ISO-файла было отправлено через фишинговое электронное письмо. Данный файл содержал загрузчик на C++, который запускает сценарий PowerShell для удаленного доступа.
  • Вторая кампания: Вредоносный имплантат Golang был доставлен через защищенный паролем RAR-файл. Хакер использовал скомпрометированные учетные записи электронной почты для распространения вредоносных файлов, маскируя их под законные документы.

Технический анализ вредоносного ПО

В ходе технического анализа было выявлено, что загрузчик на C++ выполняет сценарий PowerShell, закодированный в Base64. Это приводит к удаленному выполнению команд и утечке данных через Telegram-бота.

Имплантат на Golang во второй кампании функционировал как обратная оболочка, устанавливая связь с сервером управления. Хакер применял Telegram-бота для выполнения вредоносных действий и загрузки дополнительных данных, обеспечивая постоянный доступ через исполняемый файл, загруженный с удаленного сервера.

Связь с YoroTrooper

Анализ показал, что Silent Lynx имеет множество схожестей с казахстанской хакерской группой YoroTrooper, включая аналогичные инструменты и мотивацию, связанную со шпионажем, которая нацелена на государственные структуры Кыргызстана и соседних стран.

Таким образом, связь между Silent Lynx и YoroTrooper указывает на возможное совместное использование ресурсов, а также на привязку Silent Lynx к Казахстану.

Заключение

Кампании Silent Lynx демонстрируют сложные стратегии атаки, использующие разнообразные вредоносные файлы и Telegram-ботов для управления. Региональный таргетинг и совпадение с YoroTrooper подчеркивают нацеленность групп на шпионаж в Центральной Азии и указывают на растущую угрозу в регионе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: