Silent Lynx APT组织在多阶段网络攻击中针对中亚目标

一个名为 Silent Lynx 的之前未记录的威胁组织与针对吉尔吉斯斯坦和土库曼斯坦各个实体的网络攻击有关。

Seqrite Labs 研究员 Subhajeet Singha在上个月底发布的技术报告中表示： “该威胁组织此前曾针对东欧和中亚政府智库周边涉及经济决策和银行业的实体进行攻击。”

该黑客组织的攻击目标包括大使馆、律师、政府支持的银行和智库。该活动被归咎于一名来自哈萨克斯坦的威胁组织，可信度中等。

感染始于一封包含 RAR 存档附件的鱼叉式网络钓鱼电子邮件，该附件最终充当恶意负载的运载工具，负责授予对受感染主机的远程访问权限。

该网络安全公司于 2024 年 12 月 27 日检测到了两次活动中的第一次，它利用 RAR 存档启动 ISO 文件，而该文件又包含恶意 C++ 二进制文件和诱饵 PDF 文件。

可执行文件随后继续运行 PowerShell 脚本，该脚本使用 Telegram 机器人（名为“@south_korea145_bot”和“@south_afr_angl_bot”）执行命令和数据泄露。

通过机器人执行的一些命令包括 curl 命令，用于从远程服务器（“pweobmxdlboi[.]com”）或 Google Drive 下载并保存额外的有效负载。

相比之下，另一个活动则采用了一个包含两个文件的恶意 RAR 存档：一个诱饵 PDF 和一个 Golang 可执行文件，后者旨在建立到攻击者控制的服务器的反向 shell（“185.122.171[.]22:8082”）。

Seqrite Labs 表示，它观察到攻击者与YoroTrooper （又名 SturgeonPhisher）之间存在一定程度的战术重叠，后者与使用 PowerShell 和 Golang 工具针对独立国家联合体 (CIS) 国家发动的攻击有关。

Singha 表示：“Silent Lynx 的攻击活动展示了使用 ISO 文件、C++ 加载器、PowerShell 脚本和 Golang 植入物的复杂多阶段攻击策略。”

“他们依赖 Telegram 机器人进行指挥和控制，并结合诱饵文件和区域目标，这也凸显了他们对中亚和 SPECA 国家间谍活动的关注。”

技术报告：

https://www.seqrite.com/blog/silent-lynx-apt-targeting-central-asian-entities/

新闻链接：

https://thehackernews.com/2025/02/silent-lynx-using-powershell-golang-and.html

讲述普通人能听懂的安全故事