Hydra Saiga(亦被称作Yorotrooper、ShadowSilk、Silent Lynx)是疑似由哈萨克斯坦国家支持的威胁组织,至少自2021年起便开展网络攻击活动,截至2025年末仍保持活跃,成为中亚、欧洲、中东等地区关键基础设施及各类机构的重大且顽固的网络威胁,其攻击行动还延伸至南美、东南亚等全球多地。该组织的攻击目标与哈萨克斯坦的战略利益高度契合,尤其针对中亚地区的水利、能源等关键基础设施,同时也覆盖政府、制造、医疗、法律、航空、教育等多个行业,经分析确认其已攻陷全球8个国家的至少34家机构,对全球超200个目标实施了侦察活动,受影响区域涵盖欧洲、独联体、中东非、南亚、南美等多个板块,其中独联体区域成为其水利基础设施攻击的专属目标,中东非区域则被其针对性攻击航空领域。
研究人员通过深度且详细的技术分析将一系列复杂攻击活动归属于该组织,相关IOCs与TTPs已纳入相关威胁情报源。从溯源线索来看,该组织呈现出UTC+5的工作时间规律,且在哈萨克斯坦全国性节假日期间停止活动,这一取证特征将其运营与哈萨克斯坦紧密关联,同时其攻击目标的地缘分布也与哈萨克斯坦的地缘政治诉求高度匹配,进一步佐证了其国家支持的背景。此外,该组织与此前被卡巴斯基追踪的Tomiris威胁组织存在高度重叠,二者不仅共享攻击目标群体,使用近乎一致的以Telegram为命令与控制(C2)通道的工具。Hydra Saiga组织的操作人员还直接登录专属Tomiris的JLORAT C2基础设施,由此判断二者均服务于哈萨克斯坦的国家利益。
Hydra Saiga组织的攻击体系具备鲜明特征,其核心标志性特点是利用Telegram Bot API实现C2通信。该方式让其植入程序的搭建与运营更为便捷,同时其工具包处于持续进化中。既使用Havoc、resocks等商用植入程序,也自研基于Rust、Go、Python、PowerShell开发的定制化植入程序。还大量运用“就地取材”(Living off the Land)技术,甚至在2025年7月开发出新的浏览器登录数据提取工具,以绕过Chrome新推出的应用绑定加密技术。同时还尝试将Discord作为C2通道,展现出较强的防御规避适配能力。不过该组织操作人员存在严重的操作安全(OPSEC)失误,曾将自研植入程序感染到自身的跳板机,导致浏览器历史记录、搜索查询内容及内部基础设施细节泄露,为安全研究人员的调查提供了关键线索。
在攻击流程上,该组织的入侵向量主要为钓鱼攻击,先后发起两轮典型攻击行动:首轮攻击可追溯至2024年8月,2024年12月被首次发现,以伪装成土库曼斯坦常驻联合国代表致联合国秘书长的信件的可执行文件为诱饵。该文件作为PowerShell后门加载器,通过Base64编码执行恶意脚本,绕过PowerShell执行策略并向Telegram API发起DNS请求。部分恶意文件还被封装为ISO或RAR格式,通过被盗邮箱发送钓鱼邮件;第二轮攻击则以钓鱼邮件针对阿曼皇家警察等目标,邮件伪装成尼罗河研究所研究人员发送。附带受密码保护的RAR文件,其中的Word文档包含恶意宏,打开后会从指定IP下载并执行PowerShell后门脚本,该IP同时还托管有Meterpreter可执行文件。
在提权后的攻击活动中,该组织采取高度人工化的“手动键盘操作”模式,全程依赖Windows原生工具按步骤执行入侵流程,涵盖持久化、凭证获取、横向移动、防御规避、数据收集、工具传输、数据泄露等全环节。持久化方面,主要通过创建名为WinUpdate的计划任务、篡改注册表项实现,确保恶意程序随系统启动运行;凭证获取环节手段多样,既提取受害者设备中的密码文件,又使用FakeLogonScreen工具伪造Windows登录界面窃取密码,还导出SAM和SECURITY注册表配置单元、启用WDigest以明文存储凭证、转储LSASS内存来提取凭证哈希;横向移动时,先通过nltest工具发现域控制器地址,再利用WMI或PsExec工具下载并执行反向socks5代理客户端,实现内网横向渗透;防御规避上,通过netsh命令禁用Microsoft Defender功能及Windows防火墙,为反向代理客户端与C2服务器的连接扫清障碍;数据收集阶段,利用打印屏幕键截取受害设备屏幕,通过RAR工具将窃取的文档和文件打包归档;工具传输环节,借助curl、wget、bitsadmin及PowerShell等工具从远程地址下载后续攻击工具,这些工具多封装在密码保护的RAR包中,包含resocks反向代理客户端、chisel隧道软件及定制化浏览器数据收集工具;数据泄露则主要通过curl以POST方式将加密压缩包发送至C2服务器,同时开发了PyInstaller和Golang版本的信息窃取工具,前者解密并提取Chrome登录数据,后者可收集Edge、Firefox、Yandex、Opera、Chrome等多款浏览器的浏览历史、保存的登录信息和Cookie,并将数据整理为CSV文件归档泄露。
该组织的前期侦察工作同样体系化,先利用Censys和Shodan扫描暴露的服务器并筛选目标,再通过Acunetix网络应用安全扫描器挖掘目标漏洞。还会搜索设备默认密码、使用暴力破解工具尝试获取访问权限;同时,其会在被盗邮箱中搜索与VPN配置相关的邮件、下载VPN搭建工具以直接访问目标网络。还利用被盗的政府邮箱向其他政府部门或个人发送钓鱼邮件,精准触达最终攻击目标。2025年3月该组织还开始尝试使用Havoc C2框架补充其工具库。在基础设施方面,该组织偏好使用支持加密货币匿名支付的服务商,由BitLaunch和PSB Hosting托管C2服务器,通过QHoster注册域名。同时还会攻陷合法网站,获取网站托管服务商凭证后,将恶意RAR文件上传至这些正常网站,利用合法域名作为恶意文件的分发节点。
值得关注的是,该组织存在两大针对性极强的专项攻击行动:一是2024年9月至2025年3月的水利基础设施攻击行动,重点针对中亚锡尔河和阿姆河两大流域的关键水利设施、研究机构及政府水利部门。攻陷了吉尔吉斯斯坦的水电厂运营商与水资源服务机构、乌兹别克斯坦的地区行政部门和水利部、塔吉克斯坦的能源和水利部,还攻击了俄罗斯两家水利公用事业公司,这与哈萨克斯坦依赖锡尔河发展南部农业、修复北咸海的地缘利益高度相关;二是2024年4月29日的天然气与SCADA系统攻击行动。该组织尝试访问阿根廷、巴西、印度、荷兰、捷克等多国的暴露SCADA端点和制造设备厂商。虽此次尝试未成功,但次日便针对与哈萨克斯坦接壤的俄罗斯某地区的天然气分配系统发起访问尝试。俄罗斯作为哈萨克斯坦北部地区的主要天然气供应国,双方正深化管道项目合作,推测该组织是在测试SCADA端点攻击能力,为针对俄罗斯的实际入侵做准备。
针对Hydra Saiga组织的网络攻击防御,研究人员核心建议首先是阻断与Telegram Bot API的域名api.telegram.org的所有通信,这是其C2通信的核心通道;其次,该组织的提权后活动高度依赖原生工具,且反复使用特定自治系统号(ASNs)的IP地址,监控这些服务商的异常IP连接可及时发现受感染设备;此外,邮件服务器是该组织的常见最终攻击目标,监控邮件服务器的登录活动及外发邮件量异常增长,能够快速识别被盗用的账号,从而及时采取防御措施。总体而言,Hydra Saiga组织在多次攻击行动被披露后仍能保持活跃,展现出极强的韧性,且随着全球资源短缺问题加剧,其大概率会持续迭代定制化工具、尝试新的商用恶意软件。作为成熟的、受国家支持的APT威胁组织,其具备适应性强、持久性高的运营特点,中亚等受影响区域的防御者需将其视为长期威胁,通过情报驱动的持续防御策略应对其攻击。
参考链接:
https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/
声明:本文来自白泽安全实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
