AtlasCross RAT
Ulatuslik küberrünnakukampaania sihib aktiivselt hiinakeelseid kasutajaid trükivigadega domeenide kaudu, mis jäljendavad usaldusväärseid tarkvarabrände. Need petlikud veebisaidid on loodud levitama varem dokumenteerimata kaugjuurdepääsu troojalast, mida tuntakse AtlasCross RAT nime all. Kampaania kasutab ära kasutajate usaldust laialdaselt kasutatavate rakenduste, sealhulgas VPN-klientide, krüpteeritud sõnumsideplatvormide, videokonverentsi tööriistade, krüptovaluuta jälgijate ja e-kaubanduse tarkvara vastu.
Taristu hõlmab üksteist kinnitatud pahatahtlikku domeeni, mis jäljendavad tuntud teenuseid nagu Surfshark VPN, Signal, Telegram, Zoom ja Microsoft Teams. See strateegiline jäljendamine suurendab edukate nakatumiste tõenäosust, kasutades ära brändi tuntust.
Sisukord
Ohutegelase profiil: Silver Fox Collective
Kampaaniat on seostatud viljaka Hiina küberkuritegevuse rühmitusega, mida tuntakse nimega Silver Fox. See rühmitus tegutseb mitme varjunime all, sealhulgas SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 ja Void Arachne. Turvauurijad peavad seda rühmitust viimaste aastate üheks aktiivseimaks küberohuks, eriti kuna nad on pidevalt sihtinud organisatsioonide juhtimis- ja finantspersonali.
Silver Fox kasutab mitmesuguseid nakkusvektoreid, nagu sõnumsideplatvormid, andmepüügikirjad ja võltsitud tarkvara levitamise saidid. Grupi eesmärkide hulka kuuluvad süsteemi kaugjuhtimine, tundlike andmete väljatõrjumine ja finantspettused.
Pahavara areng: Gh0st RAT-ist AtlasCrossini
AtlasCross RATi ilmumine tähistab olulist edasiminekut Silver Foxi pahavara tööriistakastis. Varasemad operatsioonid tuginesid suuresti Gh0st RATist tuletatud variantidele, sealhulgas ValleyRATile (tuntud ka kui Winos 4.0), Gh0stCringe'ile ja HoldingHands RATile (Gh0stBins). AtlasCross esindab keerukamat evolutsiooni, mis hõlmab täiustatud varjamis-, täitmis- ja püsivusmehhanisme.
Nakkusahela jaotus: meelitamisest hukkamiseni
Rünnakuahel algab petturlike veebisaitidega, mis meelitavad kasutajaid ZIP-arhiive alla laadima. Need arhiivid sisaldavad installijaid, mis kasutavad nii legitiimset peibutusrakendust kui ka trooja nakatatud Autodeski binaarfaili. Pahatahtlik installija käivitab koodilaaduri, mis dekrüpteerib Gh0st RAT-ist saadud manustatud konfiguratsiooni.
See protsess ekstraheerib käsu- ja juhtimisüksuse (C2) üksikasjad ja hangib domeenilt „bifa668.com” TCP-pordi 9899 kaudu teise etapi kasuliku koormuse. Viimase etapi tulemuseks on AtlasCross RAT-i mälusisene käivitamine, mis vähendab oluliselt traditsiooniliste turvatööriistade abil tuvastamist.
Pahatahtlik infrastruktuur: relvastatud domeenid
Kampaania demonstreerib koordineeritud infrastruktuuri ülesehitust, kusjuures enamik pahatahtlikke domeene registreeriti 27. oktoobril 2025, mis viitab teadlikule planeerimisele. Pahavara edastamiseks kasutatud kinnitatud domeenide hulka kuuluvad:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signaal-signaal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Need domeenid matkivad täpselt legitiimseid teenuseid, lisades kahtluste vältimiseks sageli peeneid tüpograafilisi variatsioone või piirkondlikke identifikaatoreid.
Usalduse kuritarvitamine: varastatud koodiallkirjastamise sertifikaadid
Kõik tuvastatud pahatahtlikud installijad on allkirjastatud sama varastatud laiendatud valideerimise (EV) koodiallkirjastamise sertifikaadiga, mis on väljastatud Hanois Vietnamis asuvale ettevõttele DUC FABULOUS CO., LTD. Selle sertifikaadi taaskasutamine mitmetes omavahel mitteseotud pahavarakampaaniates viitab laialdasele levikule küberkuritegevuse ökosüsteemis. See taktika suurendab pahatahtlike binaarfailide tajutavat legitiimsust ja aitab turvakaitsest mööda hiilida.
Täiustatud võimalused: AtlasCross RAT-i sisekülg
AtlasCross RAT pakub võimsat võimaluste komplekti, mis on loodud varjatuse, püsivuse ja kontrolli tagamiseks. See integreerib PowerChell raamistiku, mis on natiivne C/C++ PowerShelli täitmismootor, mis manustab .NET Common Language Runtime'i (CLR) otse pahavara protsessi.
Enne käskude täitmist keelab pahavara peamised turvamehhanismid, näiteks AMSI, ETW, piiratud keelerežiimi ja ScriptBlocki logimise. Suhtlus käsklus- ja kontrollserveritega krüpteeritakse ChaCha20 abil, kasutades riistvarapõhise juhuslike arvude genereerimise teel genereeritud paketipõhiseid juhuslikke võtmeid.
Peamised funktsioonid hõlmavad järgmist:
- Sihipärane DLL-i süstimine WeChati
- Kaugtöölaua protokolli (RDP) seansi kaaperdamine
- Hiina turvatööriistade (nt 360 Safe, Huorong, Kingsoft ja QQ PC Manager) ühenduste TCP-tasemel katkestamine
- Failisüsteemi manipuleerimine ja shellikäskude täitmine
- Püsivus ajastatud ülesannete loomise kaudu
Operatiivstrateegia: pettus ulatuslikult
Silver Fox kasutab usaldusväärsuse säilitamiseks ja avastamise vältimiseks mitmekihilist domeenistrateegiat. See hõlmab trükivigu, domeenide kaaperdamist ja DNS-i manipuleerimist, mida sageli kombineeritakse piirkonnapõhiste nimetamiskonventsioonidega, et vähendada kasutajate kahtlust. Grupi võime veenvalt kopeerida legitiimseid teenuseid mängib kampaania tõhususes kriitilist rolli.
Rünnakuvektorite laienemine kogu Aasias
Alates vähemalt 2025. aasta detsembrist on grupp laiendanud oma tegevust mitmesse riiki, sealhulgas Jaapanisse, Malaisiasse, Filipiinidele, Taisse, Indoneesiasse, Singapuri ja Indiasse. Rünnakumeetodid on aja jooksul arenenud, liikudes pahatahtlike PDF-manustega andmepüügikirjadest õigustatud, kuid valesti konfigureeritud kaugseire- ja haldustööriistade, näiteks SyncFuture TSM, kuritarvitamiseni.
Hilisemates kampaaniates on kasutatud ka Pythoni-põhist infovarast, mis on maskeeritud WhatsAppi rakenduseks. Varasem tegevus 2026. aasta jaanuaris hõlmas maksuteemalisi peibutisi, mis sihikule võeti India kasutajaid Blackmooni pahavaraga.
Paindlik arsenal: adaptiivsed küberkuritegevuse operatsioonid
Silver Fox demonstreerib suurt operatiivset paindlikkust, kombineerides mitmeid pahavara perekondi ja tehnikaid. ValleyRATi kasutamine koos RMM-tööriistade ja kohandatud Pythoni-põhiste varastajatega võimaldab nakkusahelate kiiret kohandamist. See mitmekülgsus toetab nii ulatuslikke oportunistlikke kampaaniaid kui ka sihipärasemaid strateegilisi rünnakuid.
Grupp kasutab kahetasandilist mudelit, tasakaalustades laialdasi rünnakuid keerukamate operatsioonidega, mis on loodud pikaajaliseks süsteemile juurdepääsuks ja sügavamale võrgu sissetungimiseks.
Spear-Phishing Precision: ettevõtete ohvrite sihtimine
Lisaks laiaulatuslikele kampaaniatele viib Silver Fox läbi ka sihipäraseid andmepüügirünnakuid, mis on suunatud konkreetsetele tööstusharudele, eriti Jaapani tootjatele. Need rünnakud kasutavad väga veenvaid peibutisi, mis on seotud maksukohustuste täitmise, palgakorrektsioonide, töökohavahetuste ja töötajate aktsiaosaluse plaanidega.
Pärast juurutamist võimaldab ValleyRAT ründajatel:
- Saage nakatunud süsteemide täielik kaugjuhtimine
- Koguge tundlikke ja finantsandmeid
- Jälgige kasutajate tegevust reaalajas
- Säilita püsivus võrgus
See juurdepääsutase võimaldab ohutegelastel rünnakuid eskaleerida, konfidentsiaalset teavet välja filtreerida ja edasisteks ärakasutamisetappideks ohustatud keskkondades valmistuda.
