MÜNCHEN (IT BOLTWISE) – Ein bisher unbekannter Bedrohungsakteur, bekannt als Silent Lynx, wurde mit Cyberangriffen auf verschiedene Einrichtungen in Kirgisistan und Turkmenistan in Verbindung gebracht.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Silent Lynx, eine bisher nicht dokumentierte Bedrohungsgruppe, hat sich auf Cyberangriffe gegen verschiedene Einrichtungen in Kirgisistan und Turkmenistan spezialisiert. Diese Gruppe hat zuvor Ziele in Osteuropa und zentralasiatischen Regierungseinrichtungen angegriffen, die in wirtschaftliche Entscheidungsprozesse und den Bankensektor involviert sind. Zu den Zielen der Angriffe gehören Botschaften, Anwälte, staatlich unterstützte Banken und Denkfabriken. Es wird vermutet, dass es sich um einen Bedrohungsakteur aus Kasachstan handelt, wobei diese Einschätzung mit mittlerer Sicherheit getroffen wurde.
Die Infektionen beginnen mit einer Spear-Phishing-E-Mail, die ein RAR-Archiv als Anhang enthält. Dieses Archiv dient als Transportmittel für bösartige Nutzlasten, die den Fernzugriff auf die kompromittierten Hosts ermöglichen. Die erste der beiden Kampagnen, die am 27. Dezember 2024 von einem Cybersicherheitsunternehmen entdeckt wurde, nutzt das RAR-Archiv, um eine ISO-Datei zu starten. Diese Datei enthält eine bösartige C++-Binärdatei und eine Ablenkungs-PDF-Datei. Das ausführbare Programm führt anschließend ein PowerShell-Skript aus, das Telegram-Bots für die Befehlsausführung und Datenexfiltration verwendet.
Einige der über die Bots ausgeführten Befehle umfassen Curl-Befehle zum Herunterladen und Speichern zusätzlicher Nutzlasten von einem Remote-Server oder Google Drive. Die andere Kampagne hingegen verwendet ein bösartiges RAR-Archiv, das zwei Dateien enthält: eine Ablenkungs-PDF und eine Golang-Ausführungsdatei. Letztere ist darauf ausgelegt, eine Reverse-Shell zu einem von Angreifern kontrollierten Server herzustellen.
Es wurden einige taktische Überschneidungen zwischen dem Bedrohungsakteur und YoroTrooper beobachtet, der mit Angriffen auf die Länder der Gemeinschaft Unabhängiger Staaten (GUS) in Verbindung gebracht wird. Diese Angriffe nutzen ebenfalls PowerShell- und Golang-Tools. Die Kampagnen von Silent Lynx zeigen eine ausgeklügelte mehrstufige Angriffsstrategie unter Verwendung von ISO-Dateien, C++-Ladern, PowerShell-Skripten und Golang-Implantaten.
Die Abhängigkeit von Telegram-Bots für die Befehls- und Kontrollkommunikation, kombiniert mit Ablenkungsdokumenten und regionaler Zielausrichtung, unterstreicht ihren Fokus auf Spionage in Zentralasien und den SPECA-Staaten. Diese Angriffe verdeutlichen die Notwendigkeit erhöhter Wachsamkeit und robuster Sicherheitsmaßnahmen in der Region.
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Silent Lynx: Bedrohung durch mehrstufige Cyberangriffe in Zentralasien".
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Silent Lynx: Bedrohung durch mehrstufige Cyberangriffe in Zentralasien" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.