Silver Fox APT
كشف خبراء الأمن السيبراني عن حملة تصيد احتيالي متطورة ومتطورة تستهدف بشكل رئيسي المستخدمين في تايوان. هذه العملية، التي دبرتها مجموعة تهديد تُعرف باسم Silver Fox APT، تستخدم مستندات ورسائل بريد إلكتروني مضللة تحتوي على برامج ضارة لإيصال سلسلة من أحصنة طروادة الوصول عن بُعد (RATs) الخطيرة، بما في ذلك HoldingHands RAT وGh0stCringe، وكلاهما نسختان من Gh0st RAT سيئ السمعة.
جدول المحتويات
التصيد الاحتيالي باستخدام وجه مألوف: انتحال هوية السلطات الحكومية
يبدأ الهجوم برسائل تصيد احتيالي عبر البريد الإلكتروني تنتحل صفة جهات رسمية، مثل مكتب الضرائب الوطني في تايوان. غالبًا ما تتضمن هذه الرسائل مواضيع تتعلق بالضرائب أو الفواتير أو المعاشات التقاعدية، لاستغلال ثقة المستلمين ودفعهم لفتح الملفات المرفقة. في بعض الحالات، تُستخدم الصور المُضمنة كمحفزات لتنزيل البرامج الضارة عند النقر عليها، مما يُمثل تحولًا عن أساليب الإغراء التقليدية القائمة على المستندات.
المستندات المُستخدَمة كسلاح: ملفات PDF وZIP كوسائل لتوصيل البرامج الضارة
آليات التوصيل الرئيسية هي ملفات PDF ضارة أو ملفات ZIP مرفقة برسائل تصيد احتيالي. تحتوي هذه الملفات على روابط تُعيد توجيه المستخدمين إلى صفحات تنزيل تحتوي على ملفات ZIP تحتوي على:
- ملفات قابلة للتنفيذ تبدو شرعية
- محملات Shellcode
- كود القشرة المشفر
عند تنفيذها، تعمل هذه المكونات معًا لنشر البرامج الضارة دون إثارة الإنذارات.
سلسلة العدوى متعددة المراحل: الخداع في الطبقات
تتطور العدوى في عدة مراحل متطورة:
تنشيط Shellcode Loader : يقوم Shellcode Loader بفك تشفير shellcode المضمن وبدء تشغيله.
التحميل الجانبي لملفات DLL : يتم إساءة استخدام الملفات الثنائية المشروعة لتحميل ملفات DLL الضارة، مما يؤدي إلى إخفاء البرامج الضارة عن مرأى من الجميع.
مكافحة الآلات الافتراضية وتصعيد الامتيازات : تضمن هذه التقنيات تجنب البرامج الضارة اكتشافها في البيئات المعزولة وتأمين امتيازات النظام المرتفعة.
الحمولة والغرض: التجسس والسيطرة
تتضمن الحمولة النهائية ملفًا باسم "msgDb.dat"، وهو بمثابة وحدة القيادة والتحكم (C2) الأساسية. بمجرد تفعيلها، فإنها:
- يحصد معلومات المستخدم الحساسة
- تنزيل المكونات الإضافية
- تمكين التحكم في سطح المكتب عن بعد
- إدارة الملفات على النظام المصاب
تشير هذه القدرات إلى وجود نية للحفاظ على إمكانية الوصول والمراقبة على المدى الطويل للأجهزة المخترقة.
تكتيكات متطورة: الابتكار المستمر من شركة Silver Fox APT
تعمل Silver Fox APT بشكل مستمر على تحسين مجموعة أدواتها وتقنيات الهجوم الخاصة بها، كما يتضح من استخدامها لـ:
- إطار عمل Winos 4.0
- انتشار Gh0stCringe عبر صفحات تنزيل HTM
- HoldingHands RAT (المعروف أيضًا باسم Gh0stBins)
إن اعتماد المجموعة على shellcode المعقد، والمحملات الطبقية، ومتجهات التسليم المتنوعة يوضح جهدًا مستمرًا للتهرب من الاكتشاف وتعظيم نجاح التسلل.
الاستنتاج: اليقظة هي المفتاح ضد الجهات الفاعلة التهديدية المتطورة
تُسلّط هذه الحملة الضوء على التطور المتزايد لمجموعات التهديدات المتقدمة المستمرة (APT) مثل سيلفر فوكس. فمن خلال استغلالها للسمات الموثوقة، وتنسيقات الملفات المُضلّلة، وأساليب التنفيذ الخفية، تُشكّل هذه الجهات تهديدًا خطيرًا للمؤسسات المُستهدفة. وتُعدّ المراقبة المُستمرة، والتحديثات السريعة، وأمن البريد الإلكتروني المُتين دفاعاتٍ حاسمة ضد هذه التهديدات المُتطورة.
