Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) Silver Fox APT

Silver Fox APT

До Mezo през Усъвършенствана постоянна заплаха (APT), Зловреден софтуер, Фишинг, Инструменти за отдалечено администриранег
Превод на:

Експерти по киберсигурност разкриха усъвършенствана и развиваща се фишинг кампания, насочена предимно към потребители в Тайван. Организирана от група за хакерски атаки, идентифицирана като Silver Fox APT, тази операция използва документи, съдържащи зловреден софтуер, и подвеждащи имейли, за да достави серия от опасни троянски коне за отдалечен достъп (RAT), включително HoldingHands RAT и Gh0stCringe, и двата варианта на скандалния Gh0st RAT .

Фишинг с познато лице: Представяне за правителствени органи

Атаката започва с фишинг имейли, представящи се за официални организации като Националното данъчно бюро на Тайван. Тези имейли често включват теми, свързани с данъци, фактури или пенсии, за да се възползват от доверието на получателите и да ги подтикнат да отворят прикачени файлове. В някои варианти вградените изображения служат като спусъци за изтегляне на зловреден софтуер при кликване, което представлява промяна от традиционните примамки, базирани на документи.

Документи, превърнати в оръжие: PDF и ZIP файлове като средства за доставка на зловреден софтуер

Основните механизми за доставка са злонамерени PDF документи или ZIP архиви, прикачени към фишинг имейли. Тези файлове съдържат връзки, пренасочващи потребителите към страници за изтегляне, съдържащи ZIP файлове, пълни с:

  • Изпълними файлове, изглеждащи легитимно
  • Програми за зареждане на шелкодове
  • Криптиран шелкод

Когато се изпълняват, тези компоненти работят в тандем, за да внедрят зловредния софтуер, без да задействат аларми.

Многоетапна верига на заразяване: Измама на слоеве

Инфекцията протича на няколко сложни етапа:

Активиране на зареждащата програма на шелкод : Зареждащата програма на шелкод декриптира и инициира вградения шелкод.

Странично зареждане на DLL файлове : Легитимни двоични файлове се злоупотребяват за странично зареждане на злонамерени DLL файлове, скривайки зловредния софтуер на видно място.

Анти-виртуална машина и ескалация на привилегиите : Тези техники гарантират, че зловредният софтуер избягва откриването си в пясъчник и осигурява повишени системни привилегии.

Полезен товар и предназначение: Шпионаж и контрол

Крайният полезен товар включва файл с име „msgDb.dat“, който действа като основен модул за командване и управление (C2). След като бъде активен, той:

  • Събира чувствителна потребителска информация
  • Изтегля допълнителни компоненти
  • Позволява управление на отдалечен работен плот
  • Управлява файловете на заразената система

Тези възможности предполагат намерение за поддържане на дългосрочен достъп и наблюдение на компрометираните машини.

Развиващи се тактики: Последователни иновации от Silver Fox APT

Silver Fox APT непрекъснато усъвършенства своя набор от инструменти и техники за атака, както се вижда от използването на:

  • Рамка Winos 4.0
  • Разпространение на Gh0stCringe чрез страници за изтегляне на HTM
  • HoldingHands RAT (известен също като Gh0stBins)

Разчитането на групата на сложен шелкод, многослойни зареждащи програми и различни вектори за доставка демонстрира постоянни усилия за избягване на откриване и максимизиране на успеха на инфилтрацията.

Заключение: Бдителността е ключова срещу сложни заплашителни актери

Тази кампания подчертава нарастващата сложност на APT групи като Silver Fox. Използвайки надеждни теми, измамни файлови формати и техники за скрити атаки, тези участници представляват сериозна заплаха за целевите организации. Непрекъснатото наблюдение, навременното актуализиране и надеждната защита на имейлите са критични защити срещу подобни развиващи се заплахи.

Тенденция

Най-гледан

Зареждане...