El grupo de actividad de amenazas, conocido como Shadowsilk, se atribuye a un nuevo conjunto de ataques dirigidos a agencias gubernamentales dentro de Asia Central y Asia-Pacífico (APAC).
Según el grupo-IB, se han identificado casi 30 víctimas, y la intrusión se dirige principalmente a la eliminación de datos, según el grupo-IB. El grupo de piratería comparte superposiciones con los conjuntos de herramientas e infraestructura, y las campañas dirigidas por actores de amenaza llamados Yolotoreter, Sturgeon Fisher y enlaces silenciosos.
Las víctimas de la campaña del grupo van desde Uzbekistán, Kirguistán, Myanmar, Tayikistán, Pakistán y Turkmenistán.
«La operación es dirigida por una tripulación bilingüe. Los desarrolladores de habla rusa están liderados por el código de Yorossa heredado y los operadores de habla china, que traen un perfil de amenaza múltiple y ágil». «La profundidad exacta y la naturaleza de la cooperación entre estos dos subgrupos sigue siendo incierta».
Yorotrooper fue documentado públicamente por Cisco Talos en marzo de 2023 y ataques detallados dirigidos a gobiernos, energía e organizaciones internacionales en toda Europa desde al menos junio de 2022.
Los análisis posteriores revelaron que es probable que el grupo de piratería esté compuesto por individuos kazajos basados en kazajos y encilistas rusos, y que parece ser un esfuerzo deliberado para evitar objetivos nacionales.
Luego, a principios de enero de este año, Seqrite Labs descubrió un ataque cibernético llamado enemigo que recogió varias organizaciones en Kirguistán y Turkmenistán. También caracterizaron a los actores de amenaza como superpuestos con los Yorotroopers.
Shadowsilk representa la última evolución de los actores de amenaza, aprovechando el correo electrónico de phishing de lanza como un vector de acceso inicial, eliminando archivos protegidos con contraseña, ocultando el tráfico de comando y control (C2) en el bot de telegrama para evitar la detección y soltar cargadores personalizados que proporcionan cargas útiles adicionales. La persistencia se logra modificando el registro de Windows y ejecutándolo automáticamente después de un reinicio del sistema.
El actor de amenaza también se publica en Drupal (CVE-2018-7600 y CVE-2018-76020 y un complemento de Word Automático de WordPress (CVE-2024-27956).
Además, Shadowsilk se incorpora al panel web Arsenal JRAT y MORF Project, que se obtuvo del Foro DarkNet para administrar dispositivos infectados. Otro aspecto notable es el compromiso de sitios web legítimos para alojar cargas útiles maliciosas.
«Cuando está dentro de una red, Shadowsilk mueve los conchas web laterales (como Antsword, Behinder, Godzilla, Finalshell), herramientas posteriores a la explosión basadas en agudas y utilidades de túnel, como resaltos y cinceles, privilegios escaladores y datos de sifones, y la implementación de datos de sifones», dijeron los investigadores.
Como se ha observado que los ataques allanan el camino para los troyanos de acceso remoto (ratas) basados en Python que pueden recibir comandos y eliminar datos a los bots de telegrama, pueden disfrazar el tráfico malicioso como una actividad de mensajero legítimo. Los módulos Cobalt Strike y MetaSploit se utilizan para tomar capturas de pantalla y fotos de la cámara web, pero escanean archivos que coinciden con la lista predefinida de extensiones con un escaneo de script PowerShell personalizado, copiarlas en un archivo zip y luego enviarlos a un servidor externo.
La compañía singapurense calificó que los operadores del Grupo Yolotrooper con fluidez en ruso y probablemente participen en el desarrollo de malware y promueven el acceso temprano.
Sin embargo, una serie de capturas de pantalla que capturan una de las estaciones de trabajo del atacante (imágenes de diseños activos de teclado, la traducción automática del sitio web del gobierno de Kirguistán en chino y un escáner de vulnerabilidades chino) muestran la participación de los operadores chinos.
«Los comportamientos recientes indican que el grupo sigue siendo muy activo y que se han identificado recientemente en julio», dijo el grupo-IB. «Shadowsilk continúa enfocándose en el sector gubernamental en Asia Central y la región más amplia de APAC, destacando la importancia de monitorear la infraestructura para prevenir compromisos a largo plazo y la delaminación de datos».
Source link
