Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Silver Fox APT

Silver Fox APT

El Mezo el Amenaça persistent avançada (APT), Programari maliciós, Phishing, Eines d'administració remota
Traduir a:

Experts en ciberseguretat han descobert una campanya de phishing avançada i en evolució dirigida principalment a usuaris de Taiwan. Orquestrada per un grup d'amenaces identificat com a Silver Fox APT, aquesta operació utilitza documents amb programari maliciós i correus electrònics enganyosos per distribuir una sèrie de troians d'accés remot (RAT) perillosos, inclosos HoldingHands RAT i Gh0stCringe, ambdues variants del famós Gh0st RAT .

Suplantació d’identitat amb una cara familiar: suplantació d’autoritats governamentals

L'atac comença amb correus electrònics de phishing que suplanten la identitat d'entitats oficials com l'Oficina Nacional d'Impostos de Taiwan. Aquests correus electrònics sovint inclouen temes relacionats amb impostos, factures o pensions per explotar la confiança dels destinataris i demanar-los que obrin fitxers adjunts. En algunes variacions, les imatges incrustades serveixen com a desencadenants de descàrregues de programari maliciós quan es fa clic, cosa que representa un canvi respecte als esquers tradicionals basats en documents.

Documents armats: PDF i ZIP com a vehicles de distribució de programari maliciós

Els principals mecanismes de lliurament són documents PDF maliciosos o arxius ZIP adjunts a correus electrònics de phishing. Aquests fitxers contenen enllaços que redirigeixen els usuaris a pàgines de descàrrega que allotgen fitxers ZIP amb:

  • Executables d'aspecte legítim
  • Carregadors de codi Shell
  • Codi de shell xifrat

Quan s'executen, aquests components treballen conjuntament per desplegar el programari maliciós sense fer emergir alarmes.

Cadena d’infecció multietapa: engany en capes

La infecció es desenvolupa en diverses etapes sofisticades:

Activació del carregador de shellcode : el carregador de shellcode desxifra i inicia el shellcode incrustat.

Càrrega lateral de DLL : Es fan servir binaris legítims per carregar lateralment fitxers DLL maliciosos, amagant el programari maliciós a la vista de tothom.

Escalada de privilegis i anti-VM : aquestes tècniques garanteixen que el programari maliciós eviti la detecció en entorns de prova i asseguren privilegis de sistema elevats.

Càrrega útil i propòsit: espionatge i control

La càrrega útil final inclou un fitxer anomenat "msgDb.dat", que actua com a mòdul principal de comandament i control (C2). Un cop actiu, fa el següent:

  • Recopila informació sensible de l'usuari
  • Descàrregues de components addicionals
  • Habilita el control remot de l'escriptori
  • Gestiona els fitxers del sistema infectat

Aquestes capacitats suggereixen una intenció de mantenir l'accés i la vigilància a llarg termini a les màquines compromeses.

Tàctiques en evolució: innovació constant de Silver Fox APT

Silver Fox APT refina contínuament el seu conjunt d'eines i tècniques d'atac, com es veu en l'ús de:

  • Framework de Winos 4.0
  • Propagació de Gh0stCringe a través de pàgines de descàrrega HTM
  • HoldingHands RAT (també conegut com a Gh0stBins)

La dependència del grup de codi shell complex, carregadors per capes i vectors de lliurament variables demostra un esforç persistent per evadir la detecció i maximitzar l'èxit de la infiltració.

Conclusió: la vigilància és clau contra els actors d’amenaces sofisticats

Aquesta campanya destaca la creixent sofisticació dels grups APT com Silver Fox. En aprofitar temes de confiança, formats de fitxer enganyosos i tècniques d'execució furtives, aquests actors representen una greu amenaça per a les organitzacions objectiu. El seguiment continu, l'aplicació oportuna de pegats i una seguretat robusta del correu electrònic són defenses crítiques contra aquestes amenaces en evolució.

Tendència

Més vist

Carregant...