Um grupo de atividade maliciosa conhecido como ShadowSilk foi atribuído a uma nova série de ataques que têm como alvo entidades governamentais na Ásia Central e na região Ásia-Pacífico (APAC).
De acordo com a Group-IB, quase três dezenas de vítimas foram identificadas, com as intrusões focadas principalmente na exfiltração de dados.
O grupo de hackers compartilha ferramentas e infraestrutura com campanhas realizadas por atores de ameaça conhecidos como YoroTrooper, SturgeonPhisher e Silent Lynx.
As vítimas das campanhas do grupo abrangem Uzbequistão, Quirguistão, Mianmar, Tadjiquistão, Paquistão e Turcomenistão, sendo a maioria organismos governamentais, e, em menor escala, entidades dos setores de energia, manufatura, varejo e transporte.
“A operação é conduzida por uma equipe bilíngue – desenvolvedores falantes de russo ligados ao código legado do YoroTrooper e operadores falantes de chinês que lideram as intrusões, resultando em um perfil de ameaça ágil e multirregional”, disseram os pesquisadores Nikita Rostovcev e Sergei Turner.
A extensão e a natureza exata da cooperação entre esses dois subgrupos ainda são incertas.
O YoroTrooper foi documentado pela primeira vez publicamente pela Cisco Talos em março de 2023, detalhando seus ataques a governos, setor energético e organizações internacionais na Europa desde pelo menos junho de 2022.
O grupo é considerado ativo desde 2021, segundo a ESET.
Uma análise posterior naquele ano revelou que o grupo provavelmente é composto por indivíduos do Cazaquistão, com base na fluência em cazaque e russo, além de aparentes esforços deliberados para evitar atacar entidades do próprio país.
Em janeiro deste ano, o Seqrite Labs revelou ataques cibernéticos orquestrados por um adversário denominado Silent Lynx, que mirou diversas organizações no Quirguistão e Turcomenistão.
O estudo também caracterizou o ator de ameaça como tendo sobreposição com o YoroTrooper.
ShadowSilk representa a mais recente evolução deste ator de ameaça, utilizando e-mails de spear-phishing como vetor inicial de acesso para entregar arquivos compactados protegidos por senha, que contêm um loader personalizado que esconde o tráfego de command-and-control (C2) atrás de bots do Telegram, para evitar detecção e entregar payloads adicionais.
A persistência é garantida por meio da modificação do Windows Registry, fazendo os malwares executarem automaticamente após a reinicialização do sistema.
O grupo também explora vulnerabilidades públicas no Drupal (
CVE-2018-7600
e CVE-2018-7601) e no plugin WP-Automatic do WordPress (
CVE-2024-27956
), além de utilizar uma variedade de ferramentas para reconhecimento e penetration testing, como FOFA, Fscan, Gobuster, Dirsearch, Metasploit e Cobalt Strike.
Além disso, o ShadowSilk incorporou em seu arsenal painéis web JRAT e Morf Project adquiridos em fóruns da darknet para gerenciamento dos dispositivos infectados, além de uma ferramenta sob medida para roubar arquivos de armazenamento de senhas do Chrome e suas chaves de descriptografia.
Outro ponto relevante é o comprometimento de sites legítimos para hospedagem de payloads maliciosos.
“Uma vez dentro da rede, o ShadowSilk implanta web shells [como ANTSWORD, Behinder, Godzilla e FinalShell], ferramentas de pós-exploração baseadas em Sharp e utilitários de tunelamento como Resocks e Chisel para movimentação lateral, escalonamento de privilégios e exfiltração de dados”, afirmaram os pesquisadores.
Os ataques abriram caminho para o uso de um remote access trojan (RAT) baseado em Python que pode receber comandos e exfiltrar dados para um bot no Telegram, permitindo que o tráfego malicioso seja disfarçado como atividade legítima do messenger.
Módulos do Cobalt Strike e Metasploit são utilizados para capturar screenshots e fotos via webcam, enquanto um script customizado em PowerShell escaneia arquivos com extensões pré-definidas e os compacta em um arquivo ZIP, que é transmitido a um servidor externo.
A empresa de Singapura avaliou que os operadores do grupo YoroTrooper são fluentes em russo e provavelmente estão envolvidos no desenvolvimento de malware e facilitação do acesso inicial.
No entanto, uma série de screenshots capturando estações de trabalho de um dos atacantes – mostrando imagens do layout ativo do teclado, tradução automática de sites governamentais do Quirguistão para o chinês e um scanner de vulnerabilidades em chinês – indicam a participação de um operador que fala chinês, completou a pesquisa.
“O comportamento recente indica que o grupo continua altamente ativo, com novas vítimas identificadas até julho”, afirmou a Group-IB.
ShadowSilk segue focado no setor governamental da Ásia Central e da região APAC mais ampla, ressaltando a importância de monitorar sua infraestrutura para prevenir compromissos de longo prazo e exfiltração de dados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...