引言
2024年秋季,Group-IB分析师发现了一系列针对中亚和亚太地区国家政府组织的攻击活动。初步评估显示,这些攻击自2023年起持续进行,截至2025年7月仍保持活跃。
该攻击活动的工具集和基础设施与公开称为YoroTrooper的组织此前活动存在重叠。2025年1月,部分活动被讨论为"Silent Lynx",Group-IB内部将其命名为ShadowSilk。后续研究显示该组织具有更复杂的特征和比预期更广泛的攻击活动,包含许多此前未知的受害者,促使Group-IB将扩展后的活动归因于代号为ShadowSilk的威胁集群。
关键发现
- ShadowSilk自2023年起持续活跃,截至2025年7月仍保持活跃状态
- 该组织主要专注于针对政府组织进行数据窃取
- 已识别超过35个受害者,主要位于中亚政府 sector
- 分析显示该组织使用历史上与YoroTrooper相关的基础设施和工具
- ShadowSilk包含两个子组,拥有中文和俄语操作者
攻击活动追溯
在调查过程中,我们发现了从以下URL下载有效载荷的PowerShell代码:
|
|
这些相同的URL此前已在Cisco关于YoroTrooper的研究报告中提及。
俄语连接
攻击者服务器镜像分析显示,攻击者使用俄语键盘布局,并在输入命令时出现拼写错误:
|
|
我们还观察到攻击者在其自有设备上测试恶意软件功能的活动,例如在设备上启动Cobalt Strike Beacon。
中文操作者
分析发现的一组截图揭示了攻击者的工作站、操作者和其他细节:
- 图3:攻击者工作站截图,显示关于PrintNightmare(CVE-2021-34527)的文章
- 图4:显示PrintNightmare的Python实现仓库和运行中的Struts2VulsTools(中文漏洞扫描器)
- 图5:显示打开的吉尔吉斯共和国政府网站
环境特征表明设备可能属于中文操作者,为调查引入了新的中文维度。
ShadowSilk武器库
ShadowSilk使用广泛的工具和漏洞利用,包括:
- 漏洞:CVE-2018-7600、CVE-2018-7602、CVE-2024-27956
- Web应用攻击工具:sqlmap、wpscan
- 侦察工具:FOFA、Shodan、fscan、gobuster、dirsearch
- 入侵和控制工具:Metasploit、Cobalt Strike、基于Telegram机器人的自定义应用
战术、技术和程序(TTPs)
侦察阶段
攻击者使用Shodan和FOFA等公共工具收集目标信息:
|
|
资源开发
攻击者创建并使用Telegram机器人作为命令控制(C2)中心,利用其发出命令、窃取数据、更新恶意软件模块。
初始访问
使用钓鱼邮件诱骗受害者打开受密码保护的存档文件并运行其中的可执行文件。
持久化
通过修改Windows注册表确保恶意二进制文件在系统启动时自动执行:
|
|
数据外泄
攻击者使用混淆的PowerShell代码在受感染设备上搜索、压缩并外传特定类型的文件。
结论
Group-IB对威胁行为者过去和当前活动的分析揭示了ShadowSilk与YoroTrooper集体之间的显著重叠。然而,独特工具集的发现、先前未识别的基础设施以及对组织概况的新见解,导致将这些活动归因于单独的威胁集群。
防护建议
- 使用电子邮件保护措施防止通过鱼叉式网络钓鱼邮件进行初始入侵
- 监控常用于收集系统和文件信息的命令和内置工具的使用情况
- 结合严格的应用程序控制、补丁管理和针对已知恶意软件工件的高保真MXDR分析
- 确保安全措施允许主动威胁搜寻以识别无法自动检测的威胁