Silent Lynx APT组织攻击活动分析教学文档

一、事件概述

攻击时间：2025年11月3日披露
攻击目标：中国-中亚合作框架下的实体
攻击组织：Silent Lynx APT组织
攻击特征：网络间谍行动，代号"Operation Peek-a-Baku"
技术特点：多阶段攻击链，混合使用合法工具和自定义恶意软件

二、攻击链技术分析

2.1 初始攻击向量

诱饵文档特征

文件名：China-Central Asia SummitProject.rar
解压内容：China-Central Asia Summit Project.exe
社会工程策略：利用"中国-中亚峰会"相关主题诱骗目标执行

恶意样本技术细节

样本哈希：ef757733bf4b4c484dd0d6ad05032e3c
执行机制：

支持命令行参数控制行为
主要功能参数：
- -extract：提取内嵌的TM3.ps1脚本到指定路径
- -wait：显示提示框"Click OK to exit..."等待用户交互

2.2 PowerShell脚本阶段

TM3.ps1脚本功能

# 核心恶意行为：
1. 下载VBS脚本：http://62.113.66.137/WindowsUpdateService.vbs
2. 下载PS脚本：http://62.113.66.137/WindowsUpdateService.ps1  
3. 创建计划任务：每6分钟执行一次VBS脚本

WindowsUpdateService.vbs脚本

功能：下载并执行WindowsUpdateService.ps1脚本
持久化机制：通过计划任务实现定时执行

WindowsUpdateService.ps1脚本

核心功能：建立反向Shell连接
C&C地址：62.113.66.137:443
技术实现：Base64编码的PowerShell负载，实现远程命令执行

2.3 GitHub仓库滥用分析

仓库信息

地址：https://github.com/GoBuster7777/asd
活跃时间：2025年3月17日-10月29日
攻击者邮箱：GoBuster7777@proton.me
时区特征：早期操作显示+0500时区（中亚时区）

仓库中恶意脚本

1.ps1脚本：

下载地址：GitHub Raw地址
功能：连接62.113.66.137:443实现反向Shell

2.ps1脚本：

连接143.244.140.9:443
技术与1.ps1相同，仅C&C地址不同

2.4 自定义恶意软件分析

adsprgsrv.exe（服务组件）

PDB路径：C:\Users\admin\source\repos\Service\x64\Release\Service.pdb
功能：

作为Windows服务运行
监控并启动adsprgprg.exe
实现持久化驻留

adsprgprg.exe（核心负载）

PDB路径：C:\Users\admin\source\repos\Laplasgeneral\x64\Release\Laplasgeneral.pdb
技术特性：

双重连接机制：
- 内置C&C：catalog-update-unix-systems.servehttp.com:80
- 命令行参数指定：支持动态指定C&C地址和端口
字符串解密：
- 内置解密算法解密"cmd.exe"字符串
- 反分析技术应用
反弹Shell功能：
- 建立远程命令执行通道
- 支持交互式命令执行

doc.dotm（宏病毒）

攻击技术：Office宏恶意代码
行为特征：

从http://178.128.40.89:8989/shell.exe下载恶意负载
保存路径：%TEMP%\update.exe
宏代码使用Chr()函数混淆

2.exe（辅助负载）

PDB路径：C:\Users\pickl\source\repos\rev2\x64\Release\rev2.pdb
功能：连接206.189.11.142:443实现反弹Shell

三、基础设施分析

3.1 C&C服务器网络

| IP地址 | 端口 | 地理位置 | 用途 |
|--------|------|----------|------|
| 62.113.66.7 | 80/443 | 俄罗斯莫斯科 | 下载/反弹Shell |
| 62.113.66.137 | 80/443 | 俄罗斯莫斯科 | 主要C&C |
| 206.189.11.142 | 443 | 荷兰阿姆斯特丹 | 反弹Shell |
| 89.22.173.54 | 443 | 俄罗斯莫斯科 | 反弹Shell |
| 37.18.27.27 | 443 | 俄罗斯圣彼得堡 | 反弹Shell |
| 143.244.140.9 | 443 | 印度安得拉邦 | 反弹Shell |
| 178.128.40.89 | 8989 | 英国伦敦 | 恶意软件下载 |

3.2 域名滥用

updates-check-microsoft.ddns.net：伪装微软更新服务
catalog-update-unix-systems.servehttp.com：Unix系统更新伪装
support-service-update.serveftp.com：支持服务更新伪装

四、防御检测建议

4.1 IOC（失陷指标）

文件哈希：文档中列出的所有MD5哈希值
网络指标：上述所有IP地址和域名
行为特征：计划任务创建、PowerShell下载执行、服务注册等

4.2 检测规则

PowerShell检测：
- 监控Base64编码的PowerShell执行
- 检测计划任务触发的PowerShell脚本
网络流量检测：
- 监控到俄罗斯IP的443端口连接
- 检测DDNS域名的异常解析
进程行为检测：
- 服务进程启动异常子进程
- Office文档产生子进程下载行为

4.3 防护措施

应用程序控制：限制未知EXE执行
宏安全设置：禁用Office宏执行
网络分段：限制外联到高风险地区
日志监控：加强PowerShell和计划任务日志收集

五、攻击组织特征

技术成熟度：具备自定义恶意软件开发能力
操作安全：使用ProtonMail邮箱，时区伪装
工具多样性：混合使用自定义工具和合法工具
目标明确性：针对特定地缘政治事件的相关实体

六、总结

Silent Lynx APT组织展示了高级持续性威胁的典型特征：多阶段攻击链、基础设施冗余、社会工程技巧娴熟。防御方需要采取纵深防御策略，重点关注PowerShell滥用检测、网络异常连接监控和邮件附件安全管控。

Silent Lynx APT组织攻击活动分析教学文档一、事件概述攻击时间：2025年11月3日披露攻击目标：中国-中亚合作框架下的实体攻击组织：Silent Lynx APT组织攻击特征：网络间谍行动，代号"Operation Peek-a-Baku" 技术特点：多阶段攻击链，混合使用合法工具和自定义恶意软件二、攻击链技术分析 2.1 初始攻击向量诱饵文档特征文件名： China-Central Asia SummitProject.rar 解压内容： China-Central Asia Summit Project.exe 社会工程策略：利用"中国-中亚峰会"相关主题诱骗目标执行恶意样本技术细节样本哈希： ef757733bf4b4c484dd0d6ad05032e3c 执行机制：支持命令行参数控制行为主要功能参数： -extract ：提取内嵌的TM3.ps1脚本到指定路径 -wait ：显示提示框"Click OK to exit..."等待用户交互 2.2 PowerShell脚本阶段 TM3.ps1脚本功能 WindowsUpdateService.vbs脚本功能：下载并执行WindowsUpdateService.ps1脚本持久化机制：通过计划任务实现定时执行 WindowsUpdateService.ps1脚本核心功能：建立反向Shell连接 C&C地址：62.113.66.137:443 技术实现：Base64编码的PowerShell负载，实现远程命令执行 2.3 GitHub仓库滥用分析仓库信息地址：https://github.com/GoBuster7777/asd 活跃时间：2025年3月17日-10月29日攻击者邮箱：GoBuster7777@proton.me 时区特征：早期操作显示+0500时区（中亚时区）仓库中恶意脚本 1.ps1脚本：下载地址：GitHub Raw地址功能：连接62.113.66.137:443实现反向Shell 2.ps1脚本：连接143.244.140.9:443 技术与1.ps1相同，仅C&C地址不同 2.4 自定义恶意软件分析 adsprgsrv.exe（服务组件） PDB路径： C:\Users\admin\source\repos\Service\x64\Release\Service.pdb 功能：作为Windows服务运行监控并启动adsprgprg.exe 实现持久化驻留 adsprgprg.exe（核心负载） PDB路径： C:\Users\admin\source\repos\Laplasgeneral\x64\Release\Laplasgeneral.pdb 技术特性：双重连接机制：内置C&C：catalog-update-unix-systems.servehttp.com:80 命令行参数指定：支持动态指定C&C地址和端口字符串解密：内置解密算法解密"cmd.exe"字符串反分析技术应用反弹Shell功能：建立远程命令执行通道支持交互式命令执行 doc.dotm（宏病毒）攻击技术：Office宏恶意代码行为特征：从http://178.128.40.89:8989/shell.exe下载恶意负载保存路径：%TEMP%\update.exe 宏代码使用Chr()函数混淆 2.exe（辅助负载） PDB路径： C:\Users\pickl\source\repos\rev2\x64\Release\rev2.pdb 功能：连接206.189.11.142:443实现反弹Shell 三、基础设施分析 3.1 C&C服务器网络 | IP地址 | 端口 | 地理位置 | 用途 | |--------|------|----------|------| | 62.113.66.7 | 80/443 | 俄罗斯莫斯科 | 下载/反弹Shell | | 62.113.66.137 | 80/443 | 俄罗斯莫斯科 | 主要C&C | | 206.189.11.142 | 443 | 荷兰阿姆斯特丹 | 反弹Shell | | 89.22.173.54 | 443 | 俄罗斯莫斯科 | 反弹Shell | | 37.18.27.27 | 443 | 俄罗斯圣彼得堡 | 反弹Shell | | 143.244.140.9 | 443 | 印度安得拉邦 | 反弹Shell | | 178.128.40.89 | 8989 | 英国伦敦 | 恶意软件下载 | 3.2 域名滥用 updates-check-microsoft.ddns.net ：伪装微软更新服务 catalog-update-unix-systems.servehttp.com ：Unix系统更新伪装 support-service-update.serveftp.com ：支持服务更新伪装四、防御检测建议 4.1 IOC（失陷指标）文件哈希：文档中列出的所有MD5哈希值网络指标：上述所有IP地址和域名行为特征：计划任务创建、PowerShell下载执行、服务注册等 4.2 检测规则 PowerShell检测：监控Base64编码的PowerShell执行检测计划任务触发的PowerShell脚本网络流量检测：监控到俄罗斯IP的443端口连接检测DDNS域名的异常解析进程行为检测：服务进程启动异常子进程 Office文档产生子进程下载行为 4.3 防护措施应用程序控制：限制未知EXE执行宏安全设置：禁用Office宏执行网络分段：限制外联到高风险地区日志监控：加强PowerShell和计划任务日志收集五、攻击组织特征技术成熟度：具备自定义恶意软件开发能力操作安全：使用ProtonMail邮箱，时区伪装工具多样性：混合使用自定义工具和合法工具目标明确性：针对特定地缘政治事件的相关实体六、总结 Silent Lynx APT组织展示了高级持续性威胁的典型特征：多阶段攻击链、基础设施冗余、社会工程技巧娴熟。防御方需要采取纵深防御策略，重点关注PowerShell滥用检测、网络异常连接监控和邮件附件安全管控。