FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全公司Group-IB近日披露，一个名为ShadowSilk的黑客组织对中亚和亚太地区(APAC)的政府机构发起了一系列新型攻击。该组织已入侵近36个目标，主要目的是窃取敏感数据。分析显示，ShadowSilk与已知的黑客组织YoroTrooper、SturgeonPhisher和Silent Lynx在工具集和基础设施方面存在重叠。

多国政府机构成为主要目标

受害机构主要分布在乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦和土库曼斯坦，其中大部分为政府组织，少数涉及能源、制造、零售和运输行业。研究人员Nikita Rostovcev和Sergei Turner指出："该行动由双语团队运作——俄语开发者负责维护YoroTrooper遗留代码，而中文操作者主导入侵活动，形成了灵活的多区域威胁模式。但这两个子团体合作的具体深度和性质仍不明确。"

YoroTrooper最早由思科Talos在2023年3月公开披露，该组织自2022年6月起针对欧洲的政府、能源和国际组织发起攻击。据ESET调查，其活动可追溯至2021年。后续分析表明，该组织成员可能来自哈萨克斯坦，因其熟练使用哈萨克语和俄语，并刻意避免攻击本国目标。

攻击手法持续演进

今年1月，Seqrite Labs发现名为Silent Lynx的黑客组织专门攻击吉尔吉斯斯坦和土库曼斯坦的各类机构，该组织同样与YoroTrooper存在关联。ShadowSilk代表了这一威胁组织的最新进化形态，其攻击链具有以下特点：

• 使用鱼叉式钓鱼邮件作为初始入侵载体
• 投放受密码保护的压缩包，内含定制化加载程序
• 通过Telegram机器人隐藏命令与控制(C2)流量以规避检测
• 修改Windows注册表实现持久化驻留
• 利用Drupal(CVE-2018-7600和CVE-2018-76020)和WP-Automatic WordPress插件(CVE-2024-27956)的公开漏洞
• 配备包括FOFA、Fscan、Gobuster、Dirsearch、Metasploit和Cobalt Strike在内的多样化工具集

复杂的内网渗透能力

研究人员表示："一旦进入内网，ShadowSilk会部署ANTSTORM、Behinder、Godzilla和FinalShell等网页后门，基于Sharp开发的漏洞利用后工具，以及Resocks和Chisel等隧道工具进行横向移动、权限提升和数据窃取。"攻击中还观察到：

• 使用Python开发的远程访问木马(RAT)，通过Telegram机器人接收指令并外传数据
• 利用Cobalt Strike和Metasploit模块截取屏幕和摄像头画面
• 定制PowerShell脚本扫描特定扩展名文件并打包为ZIP传输至外部服务器
• 从暗网论坛获取JRAT和Morf Project网页控制面板管理受感染设备
• 开发专用工具窃取Chrome密码存储文件及解密密钥
• 劫持合法网站托管恶意载荷

Group-IB评估认为，YoroTrooper组织成员精通俄语，主要从事恶意软件开发与初始入侵。但攻击者工作站的截图显示（包括键盘布局、吉尔吉斯斯坦政府网站中文翻译界面及中文漏洞扫描器），表明有中文操作者参与其中。该公司警告："该组织近期仍高度活跃，最新受害者发现于7月。ShadowSilk持续聚焦中亚及更广泛亚太地区的政府部门，必须密切监控其基础设施以防止长期渗透和数据泄露。"

参考来源：

ShadowSilk Hits 36 Government Targets in Central Asia and APAC Using Telegram Bots

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）