Исследователи из компании Seqrite Labs выявили две кампании новой хакерской группы, получившей название Silent Lynx. Эта группа ранее атаковала объекты в Восточной Европе и Центральной Азии, включая аналитические центры и банки, участвующие в экономическом планировании. Новые кампании направлены на Национальный банк Кыргызстана и Министерство финансов этой страны.
Атаки начинались с тщательно подготовленных фишинговых писем, внешне похожих на легитимную корпоративную переписку. В первом случае жертвы получали письмо якобы от коллеги или начальства, в котором содержалось сообщение с пометкой о срочности. Письмо могло утверждать, что в архиве содержатся важные документы, такие как банковские отчёты или уведомления о выплате премий.
Чтобы повысить доверие, использовались реальные данные о сотрудниках или компании, а тема письма, например, “Приказ о премировании сотрудников”, звучала официально и правдоподобно.
Архив в формате RAR был защищён паролем, якобы для сохранения конфиденциальности данных, что ещё больше убеждало получателя в его подлинности.
Внутри архива находился ISO-файл, который при открытии содержал три элемента: вредоносный C++-загрузчик, закодированный PowerShell-скрипт и поддельный документ. Документ был составлен профессионально, имел официальный стиль и, например, представлял собой приглашение на сессию рабочей группы ООН, обсуждающей цифровизацию. Это вызывало меньше подозрений у жертвы, так как подделка выглядела максимально реалистично и соответствовала тематике, интересной для адресата.
Во втором сценарии злоумышленники использовали тот же подход, но изменили легенду письма. Оно якобы поступало от официального представителя, использовало взломанную электронную почту сотрудника Министерства финансов Кыргызстана. В письме говорилось о дополнительной премии сотрудникам с приложением к приказу.
Сама тема премий, особенно в корпоративной или государственной среде, вызывает естественный интерес и желание открыть архив, чтобы узнать детали. В архиве находились два файла: поддельный документ с приказом о премировании и вредоносный исполняемый файл на языке Golang.
Документы-декорации, вложенные в архивы, отличались высоким качеством и профессионализмом. В случае с приказом использовались реальные должности, имена и даты. Такой уровень проработки деталей делал подлог незаметным, а само письмо – максимально убедительным. Для жертвы это выглядело как стандартное рабочее взаимодействие, и открытие файла казалось естественным шагом.
В первом случае вредоносный C++-загрузчик, открытый жертвой, активировал закодированный PowerShell-скрипт. Этот скрипт взаимодействовал с Telegram-ботом, через который злоумышленники получали команды на выполнение системных действий, например, сбор данных, и отправляли результаты обратно. Во втором сценарии исполняемый файл на Golang действовал как обратная оболочка, подключаясь к командному серверу. Это позволяло злоумышленникам удалённо управлять системой жертвы, продолжая собирать конфиденциальные данные.
Таким образом, использование социальной инженерии и качественно подготовленных поддельных документов делало эти атаки особенно опасными, поскольку даже опытные сотрудники могли невольно открыть архивы и запустить вредоносные программы, доверившись правдоподобным письмам.
Специалисты Seqrite Labs нашли общие черты между Silent Lynx и известной казахстанской группой YoroTrooper. Оба используют PowerShell, схожие инструменты и тактики, а их атаки направлены на получение разведывательных данных.