Эксперты компании Seqrite Labs зафиксировали новую вредоносную операцию, проведённую группировкой Silent Lynx. Эта хакерская структура ранее осуществляла атаки на финансовые учреждения и аналитические центры в Центральной Азии и Восточной Европе. Теперь их внимание сосредоточилось на Национальном банке и Министерстве финансов Кыргызстана.
Специалисты Seqrite Labs отмечают, что злоумышленники использовали методику фишинга, детально подготавливая электронные письма, стилизованные под служебную переписку. Получатели, сотрудники финансовых организаций Кыргызстана, видели сообщение, якобы отправленное коллегами или руководством, с пометкой о неотложности.
Содержание таких писем намекало на наличие важных документов в прилагаемом архиве. Тематика варьировалась — от отчётов банков до уведомлений о премиальных выплатах. Чтобы создать впечатление подлинности, злоумышленники использовали реальные сведения о сотрудниках и их должностях. В заголовках писем фигурировали формулировки вроде «Приказ о поощрении персонала», что делало сообщение максимально убедительным.
Прикреплённый архив формата RAR защищался паролем, подчёркивая видимость конфиденциальности информации. Такой подход вызывал доверие у получателей и побуждал их открыть файлы. Особенно учитывая, что тема финансового вознаграждения всегда вызывает интерес у работников государственных и коммерческих структур.
Открывая архив, жертва обнаруживала два вложенных файла: один содержал поддельный документ с указом о премировании, а второй — исполняемый файл, разработанный на языке Golang.
Исследователи Seqrite Labs подчёркивают, что уровень подготовки фальшивых документов был крайне высоким. В них использовались реальные даты, должности и имена, что делало подлог практически незаметным. Для сотрудника такое письмо выглядело как стандартная деловая переписка, а открытие вложений не вызывало подозрений.
Запущенный файл на Golang выполнял роль обратной оболочки, связываясь с удалённым сервером управления. Это позволяло преступникам контролировать заражённую систему, получая доступ к конфиденциальным данным и манипулируя ими.
Специалисты Seqrite Labs обнаружили схожесть между методами Silent Lynx и действиями хакерской группировки YoroTrooper, действующей в Казахстане. Обе используют PowerShell, идентичные инструменты и аналогичные тактики для получения разведывательной информации.
Оригинал публикации на сайте CISOCLUB: "Хакеры провели атаки на Нацбанк и Минфин Кыргызстана".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.