В последние месяцы в мире кибербезопасности наблюдается рост активности хакерской группы, известной как Silent Lynx. Эта группа привлекла внимание благодаря своей многоуровневой стратегии атак, ориентированной на масштабные киберугрозы. В данном отчете мы рассмотрим детали их операций, включая инструменты и методы, используемые для осуществления атак.
Стратегия атаки Silent Lynx
Кампания Silent Lynx начинается с посыла вредоносного ISO-файла, в котором содержится поддельный PDF-документ и двоичный файл на C++, выполняющий роль загрузчика. После активации этого файла начинается цепочка более сложных атак.
При распаковке двоичного загрузчика C++ выявляется скрипт PowerShell, который использует Telegram-бота для удаленного выполнения команд и кражи данных. Этот скрипт включает в себя две основные функции:
- Invoke-BotCmd: используется для выполнения системных команд и передачи результатов обратно через Telegram Bot API.
- Invoke-BotDownload: предназначен для загрузки файлов из системы жертвы в окно чата Telegram хакера.
Указанные функции позволяют хакерам не только удаленно выполнять команды, но и осуществлять эксфильтрацию данных, что подчеркивает изощренность действий группы.
Дополнительные методы и инструменты
В ходе атак Silent Lynx использует различные подходы. Одним из таких методов является применение вредоносной программы Golang reverse shell, которая подключается к серверу управления (C2), чтобы выполнять дополнительные команды в случае сбоя первоначального подключения.
Кроме того, были зафиксированы случаи загрузки вредоносных программ с веб-серверов для взлома систем. Одна из жертв этой атаки была вовлечена в дипломатические операции между Туркменистаном и Кыргызстаном.
Технические аспекты и атрибуция
Идентификация жестко запрограммированного токена бота в скрипте PowerShell предоставила аналитикам ключ к пониманию механизма работы группы Silent Lynx. Хакеры использовали Telegram-бота для сбора данных и создания постоянной базы данных в скомпрометированных системах.
Хакеры также применяют инструменты red team с открытым исходным кодом, такие как resocks, а также используют платформы, например, Google Drive, для доставки дополнительной вредоносной полезной нагрузки. Эффективность этих методов вызывает серьезные опасения в сфере кибербезопасности.
Анализ атрибуции связывает Silent Lynx с казахстанской хакерской группировкой YoroTrooper, указывая на схожесть в тактике и мотивации обеих групп. Обе организации проявляют особый интерес к шпионажу против правительственных учреждений в Центральной Азии. При этом степень уверенности в атрибуции Silent Lynx Казахстану оценивается как средняя.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Сложная тактика Silent Lynx: угроза для Центральной Азии".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.