![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科黑客利用 Telegram 机器人攻击亚太地区的 35 个组织](https://www.anquan114.com/wp-content/uploads/2025/04/20250416125255813-image.png)
网络安全公司Group-IB披露名为ShadowSilk的新型威胁组织在中亚及亚太地区(APAC)针对政府机构发起攻击。该组织已渗透超过30个目标,主要动机为数据窃取,其工具集和基础设施与已知黑客团体YoroTrooper、SturgeonPhisher及Silent Lynx存在重叠。
受害者分布于乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦及土库曼斯坦,以政府机构为主,能源、制造、零售和运输业实体亦受波及。研究人员尼基塔·罗斯托夫采夫(Nikita Rostovcev)和谢尔盖·特纳(Sergei Turner)指出:“该组织由双语团队运作——俄语开发者负责维护YoroTrooper遗留代码,中文操作者主导入侵行动,形成灵活的多区域威胁模式。但两组人员的具体合作深度及性质仍不明确。”
攻击手法演进
ShadowSilk延续了YoroTrooper的技术脉络(该组织最早由思科Talos于2023年3月披露,以欧洲政府、能源及国际组织为目标)。其初始攻击载体为鱼叉式钓鱼邮件,投递受密码保护的压缩文件,释放自定义加载器。该加载器将命令控制(C2)流量隐藏在Telegram机器人通信中以规避检测,并投递后续恶意载荷。攻击者通过修改Windows注册表实现持久化驻留。
多元化攻击工具
除利用Drupal(CVE-2018-7600、CVE-2018-7602)和WP-Automatic插件漏洞(CVE-2024-27956)外,ShadowSilk还整合了侦察与渗透工具:
- 网络扫描工具:FOFA、Fscan、Gobuster、Dirsearch
- 漏洞利用框架:Metasploit、Cobalt Strike
- 地下市场资源:从暗网获取JRAT和Morf Project控制面板管理受控设备
- 数据窃取工具:定制化工具窃取Chrome密码存储文件及解密密钥
内网渗透与数据窃取
入侵得逞后,攻击者部署WebShell(如ANTSWORD、Behinder、Godzilla、FinalShell)和基于Sharp语言的利用工具,结合隧道工具Resocks和Chisel横向移动、提权并窃取数据。其专属Python远程木马(RAT)通过Telegram机器人接收指令并回传数据,将恶意流量伪装成合法通讯。Cobalt Strike和Metasploit模块用于截取屏幕及摄像头画面,定制PowerShell脚本则扫描特定扩展名文件并压缩回传至外部服务器。
语言证据与活动特征
Group-IB分析表明,YoroTrooper核心成员精通俄语,专注恶意软件开发与初始入侵。但攻击者工作站截图显示:键盘布局为中文、吉尔吉斯斯坦政府网站被自动翻译为中文、漏洞扫描器界面为中文,表明中文操作者深度参与行动。该组织近期仍高度活跃,7月仍有新受害者出现,持续聚焦中亚及亚太政府领域,需严密监控其基础设施以防长期潜伏与数据泄露。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容