В киберпространстве зафиксирована новая угроза – группа хакеров, получившая название Silent Lynx, которая проводит сложные многоэтапные кибератаки, нацеленные на организации в Кыргызстане и Туркменистане. Этот ранее неизвестный злоумышленник вызывает серьезную обеспокоенность в сфере кибербезопасности.
Silent Lynx демонстрирует особую заинтересованность в странах Центральной Азии и Восточной Европы, сосредотачиваясь на правительственных аналитических центрах, занимающихся вопросами экономики и банковского сектора. Помимо этого, под ударом оказались посольства, юридические фирмы и государственные банки. По мнению экспертов, с умеренной долей уверенности, корни этой группировки уходят в Казахстан.
Первоначальным вектором заражения служат целевые фишинговые письма, содержащие вредоносные RAR-архивы. Исследователь Subhajeet Singha из Seqrite Labs опубликовал технический отчет, в котором подробно описывает методы и инструменты, используемые Silent Lynx.
Первая кампания, обнаруженная 27 декабря 2024 года, начинается с RAR-архива, который содержит вредоносный ISO-файл. Внутри ISO-файла скрывается вредоносный бинарник, написанный на C++, и файл-приманка в формате PDF. Бинарник C++ запускает PowerShell-скрипт, который использует Telegram-ботов с именами "@south\_korea145\_bot" и "@south\_afr\_angl\_bot" для управления и кражи данных. Команды, отправляемые через ботов, включают команды curl. Для загрузки дополнительных вредоносных программ используется удаленный сервер "pweobmxdlboi[.]com" и Google Drive.
Во второй кампании также используется вредоносный RAR-архив, содержащий PDF-приманку и исполняемый файл, написанный на языке Golang. Этот исполняемый файл устанавливает обратный шелл, позволяя злоумышленникам получить удаленный доступ к скомпрометированной системе через сервер, контролируемый атакующими по адресу "185.122.171[.]22:8082".
Эксперты отмечают тактические пересечения между Silent Lynx и другой известной группировкой, YoroTrooper (также известной как SturgeonPhisher), которая также нацелена на страны Содружества Независимых Государств (СНГ) и использует PowerShell и Golang в своих атаках.
Арсенал Silent Lynx включает в себя многоэтапные атаки, ISO-файлы, C++ загрузчики, PowerShell-скрипты, Golang импланты, Telegram-боты для управления и контроля, а также документы-приманки. Особое внимание уделяется региональному таргетингу, нацеленному на страны Центральной Азии и SPECA.
Subhajeet Singha подчеркивает, что кампании Silent Lynx демонстрируют сложную многоэтапную стратегию, использующую ISO-файлы, C++ загрузчики, PowerShell-скрипты и Golang импланты. Использование Telegram-ботов для управления и контроля, в сочетании с документами-приманками и региональным таргетингом, подчеркивает их фокус на шпионаже в Центральной Азии и странах SPECA.
Изображение носит иллюстративный характер
Silent Lynx демонстрирует особую заинтересованность в странах Центральной Азии и Восточной Европы, сосредотачиваясь на правительственных аналитических центрах, занимающихся вопросами экономики и банковского сектора. Помимо этого, под ударом оказались посольства, юридические фирмы и государственные банки. По мнению экспертов, с умеренной долей уверенности, корни этой группировки уходят в Казахстан.
Первоначальным вектором заражения служат целевые фишинговые письма, содержащие вредоносные RAR-архивы. Исследователь Subhajeet Singha из Seqrite Labs опубликовал технический отчет, в котором подробно описывает методы и инструменты, используемые Silent Lynx.
Первая кампания, обнаруженная 27 декабря 2024 года, начинается с RAR-архива, который содержит вредоносный ISO-файл. Внутри ISO-файла скрывается вредоносный бинарник, написанный на C++, и файл-приманка в формате PDF. Бинарник C++ запускает PowerShell-скрипт, который использует Telegram-ботов с именами "@south\_korea145\_bot" и "@south\_afr\_angl\_bot" для управления и кражи данных. Команды, отправляемые через ботов, включают команды curl. Для загрузки дополнительных вредоносных программ используется удаленный сервер "pweobmxdlboi[.]com" и Google Drive.
Во второй кампании также используется вредоносный RAR-архив, содержащий PDF-приманку и исполняемый файл, написанный на языке Golang. Этот исполняемый файл устанавливает обратный шелл, позволяя злоумышленникам получить удаленный доступ к скомпрометированной системе через сервер, контролируемый атакующими по адресу "185.122.171[.]22:8082".
Эксперты отмечают тактические пересечения между Silent Lynx и другой известной группировкой, YoroTrooper (также известной как SturgeonPhisher), которая также нацелена на страны Содружества Независимых Государств (СНГ) и использует PowerShell и Golang в своих атаках.
Арсенал Silent Lynx включает в себя многоэтапные атаки, ISO-файлы, C++ загрузчики, PowerShell-скрипты, Golang импланты, Telegram-боты для управления и контроля, а также документы-приманки. Особое внимание уделяется региональному таргетингу, нацеленному на страны Центральной Азии и SPECA.
Subhajeet Singha подчеркивает, что кампании Silent Lynx демонстрируют сложную многоэтапную стратегию, использующую ISO-файлы, C++ загрузчики, PowerShell-скрипты и Golang импланты. Использование Telegram-ботов для управления и контроля, в сочетании с документами-приманками и региональным таргетингом, подчеркивает их фокус на шпионаже в Центральной Азии и странах SPECA.
