Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Silent Lynx: новые кампании хакеров против Кыргызстана

7
2 мин
Киберугрозы продолжают возрастать в Центральной Азии. APT-команда Seqrite Labs обнаружила две новые кампании, инициированные хакерской группой Silent Lynx, нацеленные на ключевые государственные структуры Кыргызстана, включая Национальный банк и Министерство финансов. Две кампании, организованные группой Silent Lynx, используют инновационные методы для осуществления атак: В ходе технического анализа было выявлено, что загрузчик на C++ выполняет сценарий PowerShell, закодированный в Base64. Это приводит к удаленному выполнению команд и утечке данных через Telegram-бота. Имплантат на Golang во второй кампании функционировал как обратная оболочка, устанавливая связь с сервером управления. Хакер применял Telegram-бота для выполнения вредоносных действий и загрузки дополнительных данных, обеспечивая постоянный доступ через исполняемый файл, загруженный с удаленного сервера. Анализ показал, что Silent Lynx имеет множество схожестей с казахстанской хакерской группой YoroTrooper, включая анало
Оглавление

Киберугрозы продолжают возрастать в Центральной Азии. APT-команда Seqrite Labs обнаружила две новые кампании, инициированные хакерской группой Silent Lynx, нацеленные на ключевые государственные структуры Кыргызстана, включая Национальный банк и Министерство финансов.

Методы атак Silent Lynx

Две кампании, организованные группой Silent Lynx, используют инновационные методы для осуществления атак:

  • Первая кампания: Вредоносное вложение ISO-файла было отправлено через фишинговое электронное письмо. Данный файл содержал загрузчик на C++, который запускает сценарий PowerShell для удаленного доступа.
  • Вторая кампания: Вредоносный имплантат Golang был доставлен через защищенный паролем RAR-файл. Хакер использовал скомпрометированные учетные записи электронной почты для распространения вредоносных файлов, маскируя их под законные документы.

Технический анализ вредоносного ПО

В ходе технического анализа было выявлено, что загрузчик на C++ выполняет сценарий PowerShell, закодированный в Base64. Это приводит к удаленному выполнению команд и утечке данных через Telegram-бота.

Имплантат на Golang во второй кампании функционировал как обратная оболочка, устанавливая связь с сервером управления. Хакер применял Telegram-бота для выполнения вредоносных действий и загрузки дополнительных данных, обеспечивая постоянный доступ через исполняемый файл, загруженный с удаленного сервера.

Связь с YoroTrooper

Анализ показал, что Silent Lynx имеет множество схожестей с казахстанской хакерской группой YoroTrooper, включая аналогичные инструменты и мотивацию, связанную со шпионажем, которая нацелена на государственные структуры Кыргызстана и соседних стран.

Таким образом, связь между Silent Lynx и YoroTrooper указывает на возможное совместное использование ресурсов, а также на привязку Silent Lynx к Казахстану.

Заключение

Кампании Silent Lynx демонстрируют сложные стратегии атаки, использующие разнообразные вредоносные файлы и Telegram-ботов для управления. Региональный таргетинг и совпадение с YoroTrooper подчеркивают нацеленность групп на шпионаж в Центральной Азии и указывают на растущую угрозу в регионе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Silent Lynx: новые кампании хакеров против Кыргызстана".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.