ShadowSilk adlı tehdit aktörü, Orta Asya ve Asya-Pasifik (APAC) bölgesindeki hükümet kurumlarına yönelik yeni bir saldırı dalgasıyla ilişkilendiriliyor. Group-IB’nin raporuna göre, yaklaşık 35 hedef tespit edilmiş olup, saldırılar ağırlıklı olarak veri sızdırmaya odaklanıyor.
YoroTrooper ve Silent Lynx ile Altyapı Benzerlikleri
ShadowSilk, YoroTrooper, SturgeonPhisher ve Silent Lynx olarak bilinen tehdit gruplarının kampanyalarıyla araç seti ve altyapı açısından önemli benzerlikler taşıyor. Kurbanlar Özbekistan, Kırgızistan, Myanmar, Tacikistan, Pakistan ve Türkmenistan’da bulunuyor; çoğunluğu hükümet kuruluşları olmakla birlikte enerji, üretim, perakende ve ulaşım sektörleri de hedefler arasında yer alıyor.
Çift Dilli Operasyon ve Bölgesel Dinamikler
Grubun operasyonları, Rusça konuşan geliştiriciler ile Çince konuşan operatörlerden oluşan iki dilli bir ekip tarafından yürütülüyor. Bu yapı, saldırıların çevik ve çok bölgesel bir tehdit profili sergilemesine olanak tanıyor. YoroTrooper ilk kez Mart 2023’te Cisco Talos tarafından raporlandı ve ESET’e göre 2021’den beri faaliyette. Grup, Kazakça ve Rusça akıcılığı sayesinde Kazakistanlı bireylerden oluştuğu değerlendiriliyor.
Teknik Detaylar ve Kullanılan Araçlar
ShadowSilk, hedeflerine parola korumalı arşivler içeren oltalama e-postaları gönderiyor ve özel bir yükleyici aracılığıyla komut ve kontrol (C2) trafiğini Telegram botları arkasına gizleyerek tespit edilmekten kaçınıyor. Kalıcılık için Windows Kayıt Defteri’nde değişiklik yapıyor. Ayrıca Drupal ve WP-Automatic WordPress eklentilerindeki bilinen açıkları (CVE-2018-7600, CVE-2018-76020, CVE-2024-27956) kullanıyor.
Keşif ve sızma testinde FOFA, Fscan, Gobuster, Dirsearch, Metasploit ve Cobalt Strike gibi araçlar tercih ediliyor. Enfekte cihazların yönetimi için darknet forumlarından temin edilen JRAT ve Morf Project web panelleri kullanılıyor. Chrome şifre depolama dosyaları ve şifre çözme anahtarları çalınıyor, meşru web siteleri kötü amaçlı yazılım barındırmak üzere ele geçiriliyor.
Yatay Hareket ve Veri Sızdırma Teknikleri
Ağa sızıldıktan sonra ShadowSilk, ANTSWORD, Behinder, Godzilla, FinalShell gibi web kabukları ve Sharp tabanlı sömürü araçları ile yatay hareket ederek ayrıcalık yükseltme ve veri sızdırma faaliyetleri gerçekleştiriyor. Python tabanlı uzak erişim trojanı (RAT) komut alabiliyor ve verileri Telegram botuna aktararak kötü amaçlı trafiği meşru mesajlaşma etkinliği gibi gizliyor. Cobalt Strike ve Metasploit modülleri ekran görüntüleri ve webcam fotoğrafları almakta, özel PowerShell betiği ise belirli dosya uzantılarını ZIP arşivine kopyalayıp dış sunucuya iletiyor.
Operatör Profili ve Güncel Durum
Singapur merkezli araştırma şirketi, YoroTrooper operatörlerinin Rusça’ya hakim olduğunu ve zararlı yazılım geliştirme ile ilk erişimi sağlama görevlerinde olduklarını belirtiyor. Öte yandan, saldırganlardan birinin çalışma istasyonuna ait ekran görüntüleri, Çince konuşan bir operatörün varlığını doğruluyor. Group-IB, grubun Temmuz ayında yeni kurbanlar belirleyerek hâlâ aktif olduğunu vurguluyor ve ShadowSilk’in altyapısının izlenmesinin uzun vadeli ihlallerin önlenmesi için kritik olduğunu ifade ediyor.