摘要：据 Group-IB 称，已确认近三十名受害者，入侵主要目的是窃取数据。该黑客组织与 YoroTrooper、SturgeonPhisher 和 Silent Lynx 等威胁组织共享工具集和基础设施。

一个名为ShadowSilk的威胁活动集群被认为是针对中亚和亚太地区 (APAC) 政府实体的一系列新攻击的幕后元凶。

据 Group-IB 称，已确认近三十名受害者，入侵主要目的是窃取数据。该黑客组织与 YoroTrooper、SturgeonPhisher 和 Silent Lynx 等威胁组织共享工具集和基础设施。

该组织活动的受害者遍布乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦和土库曼斯坦，其中大多数是政府组织，其次是能源、制造、零售和运输领域的实体。

YoroTrooper于 2023 年 3 月首次被思科 Talos 公开记录，详细描述了其至少自 2022 年 6 月以来针对欧洲各地政府、能源和国际组织的攻击。据 ESET 称，该组织早在 2021 年就已活跃。

当年晚些时候进行的后续分析显示，该黑客组织很可能由来自哈萨克斯坦的个人组成，因为他们能够流利地说哈萨克语和俄语，而且他们似乎有意避免针对该国的实体。

今年 1 月初，Seqrite 实验室发现了由一个名为 Silent Lynx 的攻击者策划的网络攻击，该攻击针对了吉尔吉斯斯坦和土库曼斯坦的多个组织。实验室还指出，该威胁组织与 YoroTrooper 存在重叠。

ShadowSilk 代表了该威胁组织的最新发展，它利用鱼叉式网络钓鱼电子邮件作为初始访问媒介，投放受密码保护的存档，进而投放自定义加载程序，该加载程序将命令和控制 (C2) 流量隐藏在 Telegram 机器人背后，以逃避检测并投放额外的有效载荷。通过修改 Windows 注册表，使其在系统重启后自动运行，可以实现持久化。

攻击者还利用 Drupal（CVE-2018-7600 和 CVE-2018-76020）和 WP-Automatic WordPress 插件（CVE-2024-27956）的公开漏洞，同时利用由侦察和渗透测试工具（如 FOFA、Fscan、Gobuster、Dirsearch、Metasploit 和 Cobalt Strike）组成的多样化工具包。

此外，ShadowSilk 还整合了从暗网论坛获取的 JRAT 和 Morf Project 网络面板，用于管理受感染设备，以及一个用于窃取 Chrome 密码存储文件和相关解密密钥的定制工具。另一个值得注意的方面是，它能够入侵合法网站，用于托管恶意负载。

研究人员表示：“一旦进入网络，ShadowSilk 就会部署 Web Shell（如 ANTSWORD、Behinder、Godzilla 和 FinalShell）、基于 Sharp 的后利用工具以及隧道实用程序（如 Resocks 和 Chisel）来横向移动、提升权限和窃取数据。”

据观察，这些攻击为基于 Python 的远程访问木马 (RAT) 铺平了道路。该木马可以接收命令并将数据泄露给 Telegram 机器人，从而使恶意流量伪装成合法的即时通讯活动。

Cobalt Strike 和 Metasploit 模块用于抓取屏幕截图和网络摄像头图片，而自定义的 PowerShell 脚本则会扫描与预定义扩展名列表匹配的文件，并将其复制到 ZIP 压缩包中，然后传输到外部服务器。

Group-IB研究人员评估称，YoroTrooper 组织的运营者精通俄语，可能从事恶意软件开发并促进初始访问。近期行为表明该组织仍然高度活跃，最近在 7 月份还发现了新的受害者。ShadowSilk 持续关注中亚及亚太地区的政府部门，强调监控其基础设施以防止长期入侵和数据泄露的重要性。

技术报告：

来源：会杀毒的单反狗