HackerNews 编译,转载请注明出处:
一个名为Silent Lynx的此前未被记录的威胁行为者已被证实与针对吉尔吉斯斯坦和土库曼斯坦多个实体的网络攻击有关。
Seqrite Labs研究员Subhajeet Singha在上月末发布的一份技术报告中指出:“该威胁组织此前曾针对东欧和中亚地区涉及经济决策和银行领域的政府智库。”
该黑客组织的攻击目标包括大使馆、律师、政府支持的银行和智库。据推测,这一活动很可能由一名哈萨克斯坦的威胁行为者发起,但这一推测的置信度为中。
这些感染始于一封包含RAR压缩文件附件的钓鱼邮件,该附件最终成为恶意有效载荷的传输工具,使攻击者能够远程控制被感染的计算机。
网络安全公司于2024年12月27日检测到的第一轮攻击中,利用RAR压缩文件启动了一个ISO文件,该文件包含一个恶意的C++二进制文件和一个诱饵PDF文件。随后,该可执行文件运行一个PowerShell脚本,该脚本利用Telegram机器人(名为“@south_korea145_bot”和“@south_afr_angl_bot”)执行命令和数据外泄。
通过机器人执行的一些命令包括curl命令,用于从远程服务器(“pweobmxdlboi[.]com”)或Google Drive下载和保存额外的有效载荷。
相比之下,另一轮攻击则使用了一个包含两个文件的恶意RAR压缩文件:一个诱饵PDF文件和一个Golang可执行文件。后者旨在与攻击者控制的服务器(“185.122.171[.]22:8082”)建立反向shell连接。
Seqrite Labs表示,它观察到该威胁行为者与YoroTrooper(又名SturgeonPhisher)之间存在一定的战术重叠,后者已被证实使用PowerShell和Golang工具针对独联体国家发动攻击。
Singha表示:“Silent Lynx的攻击活动展示了其利用ISO文件、C++加载器、PowerShell脚本和Golang植入物的复杂多阶段攻击策略。”
“他们依赖Telegram机器人进行命令和控制,结合诱饵文档和区域目标选择,这也凸显了他们将间谍活动的重点放在中亚和SPECA成员国上。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
