Group-IBの新たな調査によると、中央アジアおよびアジア太平洋地域の政府機関を標的とした一連のサイバー攻撃が、ShadowSilkとして知られる脅威クラスターに関連付けられています。
この活動は2023年に始まり、2025年7月時点でも継続中であり、YoroTrooperと呼ばれるグループに以前帰属された作戦との明確なつながりが示されています。今回新たに判明したのは、キャンペーンの規模と構成です。
Group-IBの調査(CERT-KGの支援による)では、少なくとも35の政府機関が被害を受けていることが判明し、新たなインフラやツール、ロシア語および中国語話者による二重のオペレーターベースを示す証拠が明らかになりました。
研究者らは、ShadowSilkの主な目的は観測されたすべてのケースでデータ窃取であり、グループによって盗まれたデータがダークウェブのフォーラムで販売されていると強調しています。
中央アジアにおけるサイバー諜報活動についてさらに読む:ロシアのマルウェアキャンペーンが中央アジアの外交ファイルを標的に
ツールと戦術
ShadowSilkは、多様なエクスプロイト、ペネトレーションテストツール、カスタムマルウェアを展開していることが観測されました。
研究者らは、攻撃者がコマンド&コントロール(C2)チャネルとしてTelegramボットを利用し、コマンドの発行、データの流出、悪意ある活動を通常のメッセージトラフィックに偽装していることを確認しました。
JRATやMorf Projectなどのウェブパネルが、アンダーグラウンドフォーラムから購入され、感染デバイスの管理に使用されていました。
また、グループはパスワードで保護されたアーカイブを添付したフィッシングメールにより、初期アクセスを獲得していました。
被害者がペイロードを実行すると、システムが侵害され、攻撃者はCobalt StrikeやMetasploitなどの追加ツールを展開して偵察、永続化、認証情報の収集を行いました。
ロシア語および中国語話者のオペレーター
サーバー分析では、ロシア語キーボードのレイアウトやコマンドのタイプミス、ロシア語話者によるマルウェア開発を示唆するテスト活動が確認されました。
一方、攻撃者のワークステーションのスクリーンショットからは、中国語の脆弱性ツールや中央アジア政府のウェブサイトへのアクセスが確認され、中国語話者の関与が示唆されました。
Group-IBの研究者は、ShadowSilkは単なるYoroTrooperの継続ではなく、共通のルーツを持つ独立した脅威クラスターであると結論付けています。
「ShadowSilkは引き続き中央アジアおよびより広いAPAC地域の政府セクターに注力しており、長期的な侵害やデータ流出を防ぐためにも、そのインフラの監視が重要である」とレポートは述べています。グループの活動は現在も継続中です。
セキュリティ推奨事項
専門家は、組織がスピアフィッシングメールによる初期侵害を防ぐために強力なメール保護対策を導入し、システムやファイル情報の収集に悪用されるコマンドや組み込みツールの使用を注意深く監視することを推奨しています。
また、厳格なアプリケーション制御、定期的なパッチ適用、既知のマルウェアアーティファクトに合わせて調整された高精度のMXDR分析を組み合わせることも勧めています。
最後に、セキュリティチームは自動検知できない脅威を発見するためのプロアクティブな脅威ハンティングを可能にし、ダークウェブフォーラムやデータ漏洩源を定期的に監視して、組織全体のセキュリティ状況をより適切に評価できるようにするべきです。
翻訳元: https://www.infosecurity-magazine.com/news/shadowsilk-targets-central-asian/