YoroTrooper атакует госструктуры через Telegram и скрытые шеллы
YoroTrooper: Telegram, TLS и скрытые Windows-службы в новой кампании APT-группировки
Группировка YoroTrooper, также известная как SilentLynx и Cavalry Werewolf, оценивается как государственно поддерживаемая Advanced Persistent Threat (APT)-группировка из Казахстана. По данным отчета, она ведет киберкампании против государственных структур, энергетических компаний и объектов критической инфраструктуры, главным образом в странах CIS и прилегающих регионах.
Особое внимание в этой кампании привлекает сочетание социальной инженерии, вредоносных вложений и многоуровневых механизмов уклонения от обнаружения. Авторы отчета подчеркивают, что YoroTrooper делает ставку на скрытность, устойчивость к анализу и длительное сохранение доступа к целевым системам.
Начальный вектор: Telegram и вредоносные архивы
Для первоначального проникновения группа использовала Telegram в качестве канала доставки. Пользователям отправлялся вредоносный архив, который активировал последующие компоненты после извлечения. Такой подход сочетает массово доступные коммуникационные платформы с точечным фишингом, что повышает вероятность успешного заражения.
- доставка через популярные мессенджеры;
- вложения с высоким уровнем риска;
- активация вредоносной цепочки после распаковки архива.
Laplas: интерактивная reverse shell с TLS
Ключевым элементом набора инструментов YoroTrooper является модуль Laplas. Он работает как интерактивная reverse shell и устанавливает TLS-шифрованное соединение с удаленным C2-сервером. При этом модуль применяет обфускацию строк и динамически расшифровывает строки выполнения уже во время работы, что затрудняет анализ и обнаружение.
Дополнительно Laplas использует анонимные каналы Windows для перехвата потоков ввода-вывода cmd.exe. Это позволяет злоумышленникам скрытно взаимодействовать с системой, не привлекая внимания стандартных средств защиты.
По сути, Laplas совмещает защищенный канал связи, скрытие логики исполнения и маскировку командного обмена — набор приемов, характерный для зрелых APT-операций.
hosts-ReverseShell и C#SSLrevshell: уклонение на уровне анализа
Отдельный вариант обратной оболочки, получивший название hosts-ReverseShell, использует прямое TCP-соединение и включает сложные техники уклонения, ориентированные на обход автоматического анализа и обнаружения в sandboxes.
Среди применяемых приемов — обфускация стековых строк и выявление расхождений в производительности на уровне микроархитектуры процессора. Такие методы позволяют компоненту распознавать среду анализа и снижать вероятность обнаружения защитными решениями.
Еще один вариант, написанный на .NET, называется C#SSLrevshell. Он демонстрирует поведение, аналогичное Laplas, включая скрытие окна консоли и установление TLS-шифрованного соединения через манипуляции с процессом проверки сертификатов. Это указывает на стремление группы к кросс-язычной разработке инструментов, адаптированных под задачи уклонения от обнаружения.
Закрепление через Netsrvc и srvdriv.exe
За закрепление в системе отвечает модуль Netsrvc. Он регистрирует себя как System service под скрытым именем и настраивается на автозапуск с высокими привилегиями SYSTEM. Такой подход позволяет компоненту выглядеть как легитимная служба и сохранять доступ после перезагрузки.
Модуль также реализует механизм опроса с интервалом пять часов, чтобы отслеживать состояние основного полезного груза srvdriv.exe. Если процесс завершается, служба пытается восстановить его. В отчете отмечается, что для дополнительного сокрытия Netsrvc использует обманные схемы именования, имитируя обычные системные службы.
- регистрация как скрытая System service;
- автозапуск с привилегиями SYSTEM;
- периодический контроль состояния
srvdriv.exe; - восстановление полезного груза при его завершении;
- маскировка под легитимные службы Windows.
Целевые группы и геополитический контекст
Кампания в первую очередь нацелена на государственных служащих Донецкой Народной Республики и Узбекистана. По оценке авторов отчета, это соответствует историческим шаблонам YoroTrooper, которая ранее демонстрировала интерес к кибершпионажу против геополитических противников в зонах конфликта.
Архитектура инкапсулированного C2 использует динамические DNS-сервисы, чтобы замаскировать вредоносную активность под легитимный сетевой трафик. В сочетании с целевым характером атак это указывает не просто на массовое распространение вредоносного ПО, а на выстроенную операцию по сбору разведывательных данных.
Вывод
YoroTrooper демонстрирует признаки зрелой APT-активности: многоэтапную доставку, развитые механизмы скрытности, устойчивое закрепление и адаптацию инструментов под разные языки и среды исполнения. Использование Telegram, TLS, динамических DNS и скрытых System service показывает, что группа делает ставку на длительное незаметное присутствие в инфраструктуре жертв.
В совокупности эти признаки подтверждают стратегическую направленность кампании на cyber espionage и подчеркивают высокий уровень технической подготовки группы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



