YoroTrooper атакует госструктуры через Telegram и скрытые шеллы


YoroTrooper: Telegram, TLS и скрытые Windows-службы в новой кампании APT-группировки

Группировка YoroTrooper, также известная как SilentLynx и Cavalry Werewolf, оценивается как государственно поддерживаемая Advanced Persistent Threat (APT)-группировка из Казахстана. По данным отчета, она ведет киберкампании против государственных структур, энергетических компаний и объектов критической инфраструктуры, главным образом в странах CIS и прилегающих регионах.

Особое внимание в этой кампании привлекает сочетание социальной инженерии, вредоносных вложений и многоуровневых механизмов уклонения от обнаружения. Авторы отчета подчеркивают, что YoroTrooper делает ставку на скрытность, устойчивость к анализу и длительное сохранение доступа к целевым системам.

Начальный вектор: Telegram и вредоносные архивы

Для первоначального проникновения группа использовала Telegram в качестве канала доставки. Пользователям отправлялся вредоносный архив, который активировал последующие компоненты после извлечения. Такой подход сочетает массово доступные коммуникационные платформы с точечным фишингом, что повышает вероятность успешного заражения.

  • доставка через популярные мессенджеры;
  • вложения с высоким уровнем риска;
  • активация вредоносной цепочки после распаковки архива.

Laplas: интерактивная reverse shell с TLS

Ключевым элементом набора инструментов YoroTrooper является модуль Laplas. Он работает как интерактивная reverse shell и устанавливает TLS-шифрованное соединение с удаленным C2-сервером. При этом модуль применяет обфускацию строк и динамически расшифровывает строки выполнения уже во время работы, что затрудняет анализ и обнаружение.

Дополнительно Laplas использует анонимные каналы Windows для перехвата потоков ввода-вывода cmd.exe. Это позволяет злоумышленникам скрытно взаимодействовать с системой, не привлекая внимания стандартных средств защиты.

По сути, Laplas совмещает защищенный канал связи, скрытие логики исполнения и маскировку командного обмена — набор приемов, характерный для зрелых APT-операций.

hosts-ReverseShell и C#SSLrevshell: уклонение на уровне анализа

Отдельный вариант обратной оболочки, получивший название hosts-ReverseShell, использует прямое TCP-соединение и включает сложные техники уклонения, ориентированные на обход автоматического анализа и обнаружения в sandboxes.

Среди применяемых приемов — обфускация стековых строк и выявление расхождений в производительности на уровне микроархитектуры процессора. Такие методы позволяют компоненту распознавать среду анализа и снижать вероятность обнаружения защитными решениями.

Еще один вариант, написанный на .NET, называется C#SSLrevshell. Он демонстрирует поведение, аналогичное Laplas, включая скрытие окна консоли и установление TLS-шифрованного соединения через манипуляции с процессом проверки сертификатов. Это указывает на стремление группы к кросс-язычной разработке инструментов, адаптированных под задачи уклонения от обнаружения.

Закрепление через Netsrvc и srvdriv.exe

За закрепление в системе отвечает модуль Netsrvc. Он регистрирует себя как System service под скрытым именем и настраивается на автозапуск с высокими привилегиями SYSTEM. Такой подход позволяет компоненту выглядеть как легитимная служба и сохранять доступ после перезагрузки.

Модуль также реализует механизм опроса с интервалом пять часов, чтобы отслеживать состояние основного полезного груза srvdriv.exe. Если процесс завершается, служба пытается восстановить его. В отчете отмечается, что для дополнительного сокрытия Netsrvc использует обманные схемы именования, имитируя обычные системные службы.

  • регистрация как скрытая System service;
  • автозапуск с привилегиями SYSTEM;
  • периодический контроль состояния srvdriv.exe;
  • восстановление полезного груза при его завершении;
  • маскировка под легитимные службы Windows.

Целевые группы и геополитический контекст

Кампания в первую очередь нацелена на государственных служащих Донецкой Народной Республики и Узбекистана. По оценке авторов отчета, это соответствует историческим шаблонам YoroTrooper, которая ранее демонстрировала интерес к кибершпионажу против геополитических противников в зонах конфликта.

Архитектура инкапсулированного C2 использует динамические DNS-сервисы, чтобы замаскировать вредоносную активность под легитимный сетевой трафик. В сочетании с целевым характером атак это указывает не просто на массовое распространение вредоносного ПО, а на выстроенную операцию по сбору разведывательных данных.

Вывод

YoroTrooper демонстрирует признаки зрелой APT-активности: многоэтапную доставку, развитые механизмы скрытности, устойчивое закрепление и адаптацию инструментов под разные языки и среды исполнения. Использование Telegram, TLS, динамических DNS и скрытых System service показывает, что группа делает ставку на длительное незаметное присутствие в инфраструктуре жертв.

В совокупности эти признаки подтверждают стратегическую направленность кампании на cyber espionage и подчеркивают высокий уровень технической подготовки группы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: