Silver Fox APT

Küberjulgeolekueksperdid on paljastanud täiustatud ja pidevalt areneva andmepüügikampaania, mis on suunatud peamiselt Taiwani kasutajatele. Silver Fox APT-na identifitseeritud ohurühmituse poolt korraldatud operatsioon kasutab pahavaraga nakatunud dokumente ja petlikke e-kirju, et levitada mitmeid ohtlikke kaugjuurdepääsuga troojalasi (RAT-e), sealhulgas HoldingHands RAT-i ja Gh0stCringe'i, mis mõlemad on kurikuulsa Gh0st RAT-i variandid.

Tuttava näoga andmepüük: valitsusasutuste jäljendamine

Rünnak algab andmepüügikirjadega, mis teesklevad ametlike asutuste, näiteks Taiwani riikliku maksuameti, isikupära. Need kirjad sisaldavad sageli maksude, arvete või pensionidega seotud teemasid, et ära kasutada saajate usaldust ja ajendada neid lisatud faile avama. Mõnes variatsioonis toimivad manustatud pildid klõpsamisel pahavara allalaadimise käivitajatena, mis kujutab endast nihet traditsioonilistest dokumendipõhistest peibutistest.

Relvastatud dokumendid: PDF-id ja ZIP-failid pahavara levitamise vahenditena

Peamised edastusmehhanismid on pahatahtlikud PDF-dokumendid või õngitsuskirjadele lisatud ZIP-arhiivid. Need failid sisaldavad linke, mis suunavad kasutajad allalaadimislehtedele, kus majutatakse ZIP-faile, mis on pakitud järgmisega:

• Legitiimse välimusega käivitatavad failid
• Shellcode'i laadurid
• Krüptitud kestakood

Käivitamisel töötavad need komponendid koos, et levitada pahavara ilma häireid tekitamata.

Mitmeastmeline nakkusahel: pettus kihtidena

Infektsioon kulgeb mitmes keerulises etapis:

Koodlaadija aktiveerimine : Koodlaadija dekrüpteerib ja käivitab manustatud koodkoodi.

DLL-ide külglaadimine : Legitiimseid binaarfaile kuritarvitatakse pahatahtlike DLL-failide külglaadimiseks, varjates pahavara nähtavale kohale.

VM-vastane ja õiguste eskaleerimine : need tehnikad tagavad, et pahavara ei tuvastata liivakastikeskkondades ja et see annab kõrgendatud süsteemiõigused.

Kasulik koormus ja eesmärk: spionaaž ja kontroll

Lõplik kasulik fail sisaldab faili nimega 'msgDb.dat', mis toimib peamise juhtimis- ja juhtimismoodulina (C2). Kui see on aktiivne, siis see:

• Kogub tundlikku kasutajainfot
• Laadib alla lisakomponente
• Lubab kaugtöölaua juhtimise
• Haldab nakatunud süsteemis olevaid faile

Need võimalused viitavad kavatsusele säilitada pikaajaline juurdepääs ja jälgimine ohustatud masinatel.

Arenevad taktikad: Silver Fox APT järjepidev innovatsioon

Silver Fox APT täiustab pidevalt oma tööriistakomplekti ja rünnakutehnikaid, nagu nähtub järgmiste vahendite kasutamisest:

• Winos 4.0 raamistik
• Gh0stCringe'i levik HTM-i allalaadimislehtede kaudu
• HoldingHands RAT (tuntud ka kui Gh0stBins)

Grupi sõltuvus keerukast shellkoodist, kihilistest laaduritest ja erinevatest edastusvektoritest näitab pidevat pingutust avastamise vältimiseks ja infiltratsiooni edu maksimeerimiseks.

Kokkuvõte: valvsus on keerukate ohutegijate vastu võtmetähtsusega

See kampaania toob esile APT-rühmituste, näiteks Silver Foxi, üha keerukama käitumise. Usaldusväärsete teemade, petlike failivormingute ja varjatud täitmistehnikate abil kujutavad need osalejad endast tõsist ohtu sihtrühma kuuluvatele organisatsioonidele. Pidev jälgimine, õigeaegne paranduste tegemine ja tugev e-posti turvalisus on selliste arenevate ohtude vastu kriitilise tähtsusega kaitsemeetmed.