Código HTML do Conteúdo
Post: Shadowsilk alvos de teste de penetração e explorações públicas para violar organizações - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Especialistas em segurança cibernética descobriram um cluster de ameaça persistente (APT) chamado Shadowsilk em uma pesquisa completa publicada pelo Grupo-IB. Desde pelo menos 2023, esse grupo violou ativamente as instituições governamentais na Ásia Central e na área da Ásia-Pacífico.</p>
<p>As operações do grupo, em andamento em julho de 2025, concentram-se principalmente na exfiltração de dados, alavancando uma mistura sofisticada de explorações publicamente disponíveis, utilitários de teste de penetração e malware personalizado. </p>
<p>A infraestrutura e o conjunto de ferramentas da Shadowsilk exibem sobreposições significativas com as campanhas iorotrooper previamente documentadas, incluindo scripts compartilhados do PowerShell para entrega de carga útil e mecanismos de comando e controle baseados em telegrama (C2). </p>
<p>No entanto, a análise expandida revelou um escopo mais amplo da vítima e perfis operacionais diferenciados, levando o Grupo-IB a classificar Shadowsilk como um ator de ameaça distinto.</p>
<p>Uma operação conjunta com o CERT-KG permitiu a aquisição de uma imagem do servidor, expondo as táticas, técnicas e procedimentos do grupo (TTPs), incluindo evidências de operadores de língua chinesa e russa colaborando em subgrupos.</p>
<p>Essa composição bilíngue sugere potenciais alianças transversais, embora a natureza exata de sua cooperação permaneça incerta. </p>
<p>Mais de 35 vítimas, predominantemente no setor governamental, foram identificadas, com ataques envolvendo acesso inicial por meio <a href="https://gbhackers.com/beware-of-npm-phishing-emails/" rel="noreferrer noopener" target="_blank">e -mails de phishing</a> que fornecem arquivos protegidos por senha contendo executáveis. </p>
<p>Esses binários estabelecem persistência por meio de modificações do registro e facilitam a execução do comando remoto, ressaltando a ênfase do grupo na infiltração furtiva e de longo prazo.</p>
<h2 id="h-shadowsilk-s-bilingual-operations"><strong>Operações bilíngues de Shadowsilk</strong></h2>
<p>Um exame forense mais forense da imagem do servidor apreendida destacou o diversificado arsenal de Shadowsilk, que integra ferramentas de teste de penetração de código aberto, como SQLMAP, WPSCAN, FSCAN, GOBUSTER e Pesquisa de Reconhecimento e Vulnerabilidade. </p>
<p>O grupo explora vulnerabilidades conhecidas, como CVE-2018-7600 (DrupalgedDon2), CVE-2018-7602 e CVE-2024-27956, juntamente com estruturas como metasploit e <a href="https://gbhackers.com/kimsuky-apt-exposed/" rel="noreferrer noopener" target="_blank">Greve de cobalto</a> para escalada de privilégios e movimento lateral. </p>
<p>Os elementos personalizados incluem bots telegrama para C2, permitindo emissão de comando em tempo real, exfiltração de dados e ofuscação de tráfego como atividade legítima do mensageiro. </p>
<p>As capturas de tela das estações de trabalho dos operadoras revelaram interfaces em língua chinesa, incluindo ferramentas como Struts2VulStools e Godzilla Webshells, apontando para membros de língua chinesa que lidam com a penetração de rede e reconhecimento interno. </p>
<p>Por outro lado, os operadores de língua russa parecem focados no desenvolvimento de malware, evidenciados pelos layouts do teclado russo, erros de comando (por exemplo, “ыытт –ыы” para “Screen -ls”) e testes de belisões de cobalto em seus próprios dispositivos. </p>
<p>Redes de vítimas compartilhadas, como as de organizações Uzbeque, indicam esforços coordenados entre subgrupos, com notas de reconhecimento idênticas aparecendo em ambos os contextos. </p>
<p>A persistência é mantida por meio de chaves de registro como HKCU Software Microsoft Windows CurrentVersion Run, enquanto o acesso de credenciais envolve roubar lojas de senha do Chrome e descriptografá -las usando chaves locais. </p>
<p>Scripts de exfiltração, geralmente ofuscando o código do PowerShell, arquivam sistematicamente arquivos sensíveis (por exemplo, .docx, .xlsx, .pdf) para domínios como pweobmxdlboi[.]com, comprimindo dados em arquivos ZIP para transmissão. </p>
<p>O grupo também adquiriu painéis da Web como o JRAT e o Morf Project nos fóruns da DarkWeb, usando -os para gerenciar dispositivos infectados sem desenvolver construtores de malware personalizados, reduzindo assim a sobrecarga operacional.</p>
<h2 id="h-evolving-campaigns"><strong>Campanhas em evolução </strong></h2>
<p>De acordo com o <a href="https://www.group-ib.com/blog/shadowsilk/#indicators-of-compromise" rel="noreferrer noopener nofollow" target="_blank">relatório</a>As campanhas de Shadowsilk demonstram adaptabilidade, com a infraestrutura atualizando após exposições, como a divulgação de “lince silencioso” de janeiro de 2025 que levou a abandono de servidores antigos.</p>
<p>Até junho de 2025, surgiram novos bots de telegrama e endereços IP, mantendo semelhanças processuais como comandos PowerShell modificados para implantação de carga útil (por exemplo, downloads baseados em curl para caminhos como C: Usuários Public $$. </p>
<p>Uma fração de dados exfiltrados surgiu para venda em fóruns DarkWeb, sugerindo possíveis motivos de monetização além da espionagem. </p>
<p>Para a defesa, as organizações devem implementar a filtragem robusta de email para bloquear os vetores de phishing, aplicar controles estritos de aplicativos e aplicar patches para CVEs explorados. </p>
<p>A caça proativa de ameaças, combinada com soluções gerenciadas de detecção e resposta (MXDR), é crucial para detectar anomalias como mudanças incomuns no registro ou tráfego de telegrama. </p>
<p>Monitorar os vazamentos de DarkWeb e alavancar as plataformas de inteligência de ameaças podem fornecer avisos precoces, garantindo a resiliência contra ameaças tão persistentes.</p>
<h2 id="h-indicators-of-compromise-iocs"><strong>Indicadores de compromisso (IOCs)</strong></h2>
<figure>
<table>
<thead>
<tr>
<th>Categoria</th>
<th>Indicador</th>
<th>Descrição</th>
</tr>
</thead>
<tbody>
<tr>
<td>Domínio</td>
<td>pweobmxdlboi[.]com</td>
<td>Exteration de Exfiltração</td>
</tr>
<tr>
<td>Domínio</td>
<td>documento[.]Hometowncity[.]nuvem</td>
<td>Entrega da carga útil</td>
</tr>
<tr>
<td>IP</td>
<td>141[.]98[.]82[.]198</td>
<td>Hospedagem em painel</td>
</tr>
<tr>
<td>Hash</td>
<td>471E1DE3E1A7B0506F6492371A687CDE4E278ED8</td>
<td>Amostra de malware</td>
</tr>
<tr>
<td>Hash</td>
<td>CA12E8975097D1591CDA08D095D4AF09B05DA83F</td>
<td>Amostra de malware</td>
</tr>
</tbody>
</table>
</figure>
<p><strong>Encontre esta notícia interessante! Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualizações instantâneas!</strong></p>
</div></div>