ShadowSilk Telegram botlaridan foydalangan holda Markaziy Osiyo va APACdagi 35 ta tashkilotga buzib kirdi
7
73
0
Markaziy Osiyo va Osiyo-Tinch okeani mintaqalaridagi (APAC) hukumat tashkilotlarini nishonga olgan yangi hujumlar to‘plami ShadowSilk nomli tahdid faoliyati klasteriga tegishli deb topildi.
Group-IB ma’lumotlariga ko‘ra, ko‘plab qurbonlar aniqlangan bo‘lib, hujumlar asosan ma’lumotlarni yashirincha olib chiqishga qaratilgan. Hakerlar guruhi o‘z vositalari va infratuzilmasi bilan YoroTrooper, SturgeonPhisher va Silent Lynx deb ataluvchi tahdid subyektlari olib borgan harakatlar bilan o‘xshashliklarga ega.
Guruh hujumlarining qurbonlari orasida O‘zbekiston, Qirg‘iziston, Myanma, Tojikiston, Pokiston va Turkmanistondagi tashkilotlar bor bo‘lib, ularning aksariyati davlat idoralari, qolganlari esa energiya, ishlab chiqarish, chakana savdo va transport sohalariga tegishli.
“Tashkilot ikki tilli guruh tomonidan boshqariladi – YoroTrooper’ning eski kodlariga bog‘langan rus tilida so‘zlashuvchi dasturchilar va hujumlarni amalga oshirayotgan xitoy tilida so‘zlashuvchi operatorlar, natijada bu ko‘p mintaqali, chaqqon tahdid profilini yuzaga keltiradi,” – deya ma’lum qilishdi tadqiqotchilar Nikita Rostovtsev va Sergei Tyorner. “Bu ikki kichik guruhning hamkorlik ko‘lami va tabiati hali aniq emas.”
YoroTrooper birinchi marta 2023-yil mart oyida Cisco Talos tomonidan ommaga e’lon qilingan bo‘lib, unda kamida 2022-yil iyunidan boshlab Yevropa bo‘ylab hukumat, energetika va xalqaro tashkilotlarni nishonga olgan hujumlari haqida batafsil ma’lumot berilgan. ESET ma’lumotlariga ko‘ra, bu guruhning faoliyati 2021-yilgacha borib taqalishi mumkin.
O‘sha yilning keyingi tahlillari hakerlar guruhi ehtimol Qozog‘istondan bo‘lishi mumkinligini ko‘rsatadi, chunki ular qozoq va rus tillarini yaxshi biladi hamda mamlakatdagi tashkilotlarni nishonga olmaslik uchun ataylab choralar ko‘rgandek tuyulmoqda.
Joriy yil yanvar oyida esa Seqrite Labs “Silent Lynx” nomi bilan tanilgan tahdid subyekti tomonidan Qirg‘iziston va Turkmanistondagi turli tashkilotlarga qaratilgan kiberhujumlarni aniqladi. Shuningdek, ushbu muhaddid YoroTrooper bilan o‘xshashliklarga ega ekani ham qayd etildi.
ShadowSilk esa bu muhaddidning so‘nggi evrilishini ifodalaydi. U dastlabki kirish kengligi sifatida nishonga yo‘naltirilgan fishing xatlaridan foydalanib, parol bilan himoyalangan arxivlarni yetkazib, maxsus yuklamani ishga tushiradi. Bu yuklama (payload) boshqaruv va nazorat (C2) trafigini Telegram botlari orqali yashiradi, aniqlashdan qochadi va qo‘shimcha zararli yuklamalarni yetkazadi. Barqarorlik esa Windows registrini o‘zgartirish orqali ta’minlanadi, shunda tizim qayta ishga tushirilgandan so‘ng ular avtomatik ishga tushadi.
Muhaddid shuningdek, Drupal (CVE-2018-7600 va CVE-2018-76020) hamda WP-Automatic WordPress plagini (CVE-2024-27956) uchun ommaviy eksploitlardan foydalanadi. Bundan tashqari, u FOFA, Fscan, Gobuster, Dirsearch, Metasploit va Cobalt Strike kabi josuslik va daxl sinovi (pentest) vositalarini o‘z ichiga olgan turli xil hakerlik "qurollari" to‘plamidan foydalanadi.
Shuningdek, ShadowSilk o‘z arsenaliga darknet forumlaridan olingan JRAT va Morf Project veb-panellarini qo‘shgan bo‘lib, ular orqali yuqtirilgan qurilmalarni boshqaradi. Bundan tashqari, u Chrome brauzerining parol saqlash fayllari va ular bilan bog‘liq shifrlash kalitini o‘g‘irlash uchun maxsus yaratilgan vositadan foydalanadi. Yana bir muhim jihati – zararli yuklamalarni joylashtirish uchun odatiy veb-saytlarni buzib kirib foydalanishi.
“Tarmoq ichiga kirgach, ShadowSilk veb-qobiqlar [masalan, ANTSWORD, Behinder, Godzilla va FinalShell], Sharp asosidagi eksploit vositalari va Resocks hamda Chisel kabi tunnellash yordamchilarini ishga tushirib, yon tomonlama harakatlanadi, imtiyozlarni oshiradi va ma’lumotlarni o‘g‘irlaydi,” – deya ma’lum qilishdi tadqiqotchilar.
Hujumlar natijasida Python asosidagi masofaviy kirish troyani (RAT) ishga tushirilgani kuzatilgan bo‘lib, u buyruqlarni qabul qila oladi va ma’lumotlarni Telegram botiga yuboradi, shu orqali zararli trafikni qonuniy xabar almashish faoliyati sifatida yashiradi. Cobalt Strike va Metasploit modullari skrinshotlar va veb-kamera suratlarini olish uchun qo‘llanadi, maxsus PowerShell skripti esa oldindan belgilangan kengaytmalar ro‘yxatiga mos keluvchi fayllarni qidirib, ularni ZIP arxiviga nusxalaydi va so‘ngra tashqi serverga yuboradi.
Singapurlik kompaniya YoroTrooper guruhi operatorlari rus tilini yaxshi bilishini va zararli dastur ishlab chiqish hamda dastlabki kirishni ta’minlash bilan shug‘ullanish ehtimoli yuqori ekanini qayd etdi.
Biroq, hakerlardan birining ishchi stansiyasida olingan bir nechta skrinshotlar – faol klaviatura tartibi tasvirlari, Qirg‘iziston hukumat veb-saytlarining avtomatik ravishda xitoy tiliga tarjima qilinishi va xitoy tilidagi zaiflik skaneri – bu yerda xitoy tilida so‘zlashuvchi operator ishtirokini ko‘rsatadi, deyiladi xabarda.
“Yaqinda kuzatilgan harakatlar guruh hanuz faol ekanini ko‘rsatmoqda, yangi qurbonlar hatto iyul oyida ham aniqlangan,” – dedi Group-IB. “ShadowSilk Markaziy Osiyo va kengroq APAC mintaqasidagi hukumat sektoriga e’tibor qaratishda davom etmoqda, bu esa uning infratuzilmasini kuzatib borish uzoq muddatli xavflarni va ma’lumotlar o‘g‘irlanishini oldini olishda naqadar muhim ekanini ta’kidlaydi.”