Group-IB spojuje skupinu ShadowSilk s novou vlnou průniků proti vládním institucím a firmám ve střední Asii a APAC. Identifikováno bylo téměř 36 obětí v zemích jako Uzbekistán, Kyrgyzstán, Tádžikistán, Turkmenistán, Myanmar a Pákistán. Aktivita sdílí nástroje a infrastrukturu s kampaněmi připisovanými YoroTrooper, SturgeonPhisher a Silent Lynx. Vektor počátečního přístupu tvoří cílený phishing s heslem chráněnými archivy, z nichž se spouští loader maskující C2 komunikaci přes Telegram boty. Perzistence je zajištěna úpravou registrů Windows, k laterálnímu pohybu slouží webové shelly (ANTSWORD, Behinder, Godzilla, FinalShell), nástroje typu Cobalt Strike, Metasploit a tunelace Resocks/Chisel. Skupina využívá i veřejné exploity pro Drupal (CVE-2018-7600/76020) a plugin WP-Automatic (CVE-2024-27956). Vyvinula vlastní krádežový modul pro Chrome se schopností získat klíče k dešifrování uložených hesel a zneužívá kompromitované legitimní weby k hostování payloadů. Operace řídí dvoujazyčný tým: rusky mluvící vývoj napojený na YoroTrooper a čínsky mluvící operátoři v poli; přesná míra spolupráce zůstává nejasná. „Skupina zůstává vysoce aktivní, nové oběti přibývaly ještě v červenci,“ uvádí Group-IB. Doporučení směřují na posílení emailové hygieny, monitoring anomálií v proxy/DNS a blokaci Telegram-based C2 vzorů.
Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS