Ssylka

Кыргызстан и Туркменистан под прицелом: кто такой Silent Lynx и что он задумал?

В киберпространстве зафиксирована новая угроза – группа хакеров, получившая название Silent Lynx, которая проводит сложные многоэтапные кибератаки, нацеленные на организации в Кыргызстане и Туркменистане. Этот ранее неизвестный злоумышленник вызывает серьезную обеспокоенность в сфере кибербезопасности.
Кыргызстан и Туркменистан под прицелом: кто такой Silent Lynx и что он задумал?
Изображение носит иллюстративный характер

Silent Lynx демонстрирует особую заинтересованность в странах Центральной Азии и Восточной Европы, сосредотачиваясь на правительственных аналитических центрах, занимающихся вопросами экономики и банковского сектора. Помимо этого, под ударом оказались посольства, юридические фирмы и государственные банки. По мнению экспертов, с умеренной долей уверенности, корни этой группировки уходят в Казахстан.

Первоначальным вектором заражения служат целевые фишинговые письма, содержащие вредоносные RAR-архивы. Исследователь Subhajeet Singha из Seqrite Labs опубликовал технический отчет, в котором подробно описывает методы и инструменты, используемые Silent Lynx.

Первая кампания, обнаруженная 27 декабря 2024 года, начинается с RAR-архива, который содержит вредоносный ISO-файл. Внутри ISO-файла скрывается вредоносный бинарник, написанный на C++, и файл-приманка в формате PDF. Бинарник C++ запускает PowerShell-скрипт, который использует Telegram-ботов с именами "@south\_korea145\_bot" и "@south\_afr\_angl\_bot" для управления и кражи данных. Команды, отправляемые через ботов, включают команды curl. Для загрузки дополнительных вредоносных программ используется удаленный сервер "pweobmxdlboi[.]com" и Google Drive.

Во второй кампании также используется вредоносный RAR-архив, содержащий PDF-приманку и исполняемый файл, написанный на языке Golang. Этот исполняемый файл устанавливает обратный шелл, позволяя злоумышленникам получить удаленный доступ к скомпрометированной системе через сервер, контролируемый атакующими по адресу "185.122.171[.]22:8082".

Эксперты отмечают тактические пересечения между Silent Lynx и другой известной группировкой, YoroTrooper (также известной как SturgeonPhisher), которая также нацелена на страны Содружества Независимых Государств (СНГ) и использует PowerShell и Golang в своих атаках.

Арсенал Silent Lynx включает в себя многоэтапные атаки, ISO-файлы, C++ загрузчики, PowerShell-скрипты, Golang импланты, Telegram-боты для управления и контроля, а также документы-приманки. Особое внимание уделяется региональному таргетингу, нацеленному на страны Центральной Азии и SPECA.

Subhajeet Singha подчеркивает, что кампании Silent Lynx демонстрируют сложную многоэтапную стратегию, использующую ISO-файлы, C++ загрузчики, PowerShell-скрипты и Golang импланты. Использование Telegram-ботов для управления и контроля, в сочетании с документами-приманками и региональным таргетингом, подчеркивает их фокус на шпионаже в Центральной Азии и странах SPECA.


Новое на сайте

15295Боль при установке вмс: мифы, факты и новые решения 15294Где зародился свободный бит: история рейв-культуры восточной Англии 15293Есть ли шанс у новых авторов попасть в книжные магазины? 15292Действительно ли туристический налог укрепит экономику Уэльса? 15291Прививка от кори: почему болезнь опаснее, чем кажется 15290Прорыв в охране природы на острове Мэн: итоги и перемены в Manx Wildlife Trust 15289Полтысячи дней в ожидании: зачем колчестеру срочный ремонт исторического моста 15288Новые друзья старинного парка: движение за обновление веруламиума 15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы