Группа Silver Dragon, угроза в области кибербезопасности, связанная с APT41, нацелилась на правительственные структуры в Европе и Юго-Восточной Азии, используя вредоносные инструменты, такие как Cobalt Strike и трюки с Google Drive для управления. Эти атаки, начавшиеся как минимум с середины 2024 года, представляют собой серьёзную угрозу для безопасности.
Методы атак Silver Dragon
Согласно отчёту компании Check Point, Silver Dragon использует несколько методов для первоначального доступа к системам. Основные из них включают эксплуатацию уязвимых интернет-серверов и рассылку фишинговых писем с вредоносными вложениями. После получения доступа злоумышленники скрывают свою активность, подменяя легитимные Windows-сервисы, что позволяет им оставаться незамеченными системой безопасности.
Цепочки заражения и последствия
Три основных цепочки заражения были идентифицированы: захват приложений, DLL-сервиса и фишинг. Первая цепочка включает использование заархивированных файлов для распространения MonikerLoader, с помощью которого выполняется следующая стадия вредоносного кода. Вторая цепочка использует BamboLoader, загрузчик DLL, который регистрируется как сервис Windows для инъекции кода в легитимные процессы. Третья цепочка основана на фишинговых атаках с использованием вредоносных ярлыков, особенно заметных в Узбекистане.
Эти атаки сопровождаются использованием различных инструментов для постэксплуатации, таких как SilverScreen для мониторинга экрана и GearDoor, который связывается с инфраструктурой управления через Google Drive, позволяя злоумышленникам загружать данные о системах жертв, оставаясь под прикрытием. Специалистам по кибербезопасности следует усилить защиту от фишинга и мониторить аномальную активность.
В ближайшее время эксперты ожидают дальнейших атак со стороны Silver Dragon, учитывая растущую активность этой группы. Организациям рекомендуется принять превентивные меры для защиты от подобных угроз.
