Silver Fox ValleyRAT pahavara kampaania
Silver Foxi nime all tegutsev ohurühmitus on käivitanud keeruka valelipuoperatsiooni, mille eesmärk on varjata oma tegevust Vene rühmituse tegevuseks. Kampaania keskendub hiina keelt kõnelevatele kasutajatele, sealhulgas Hiinas esindatud lääne organisatsioonide töötajatele, ning tugineb suuresti otsingumootorite manipuleerimisele ja võltsitud Microsoft Teamsi installiprogrammidele, et edastada tuntud kaugjuurdepääsu troojat.
Sisukord
Maskeerunud vene näitlejaks
Silver Foxi hiljutine tegevus keerleb strateegilise katse ümber eksitada analüütikuid, matkides Venemaa ohurühmitusi. Selle illusiooni tugevdamiseks manustavad ründajad kirillitsa elemente modifitseeritud ValleyRAT-i komponentidesse ja pakendavad isegi pahatahtlikke faile venepäraste nimekonventsioonidega. See tahtlik eksitamine raskendab omistamist, võimaldades samal ajal rühmitusel taotleda rahaliselt ja geopoliitiliselt motiveeritud eesmärke.
SEO mürgistus ja meeskondade-teemalised peibutised
Alates 2025. aasta novembrist on Silver Fox käitanud otsingumootorite optimeerimise (SEO) mürgitamiskampaaniat, mis on kohandatud Microsoft Teamsi otsivate ohvrite meelitamiseks. Erinevalt varasematest operatsioonidest, mis kuritarvitasid selliseid tööriistu nagu Chrome, Telegram, WPS Office ja DeepSeek, keskendub see laine ainult Teamsile.
Ohustatud otsingutulemused suunavad kasutajad petturlikule veebisaidile, mis teeskleb end olevat seaduslik Teamsi allalaadimisleht. Ehtsa tarkvara asemel saavad ohvrid Alibaba Cloudis majutatud ZIP-arhiivi nimega „MSTчamsSetup.zip”. Failinimes olevad kirillitsad tähemärgid tugevdavad valelipu narratiivi.
Trooja nakatatud installija ja varjatud juurutamine
ZIP-faili sees asub Setup.exe, võltsitud Teamsi installer, mis on loodud mitmeastmelise nakatamise algatamiseks. Käivitamisel teostab see keskkonnakontrolle, otsib konkreetse turvatööriistaga seotud binaarfaile ja muudab Microsoft Defenderi sätteid, lisades välistamisreegleid. Samuti asetab see kasutaja AppData\Local kataloogi manipuleeritud Microsofti installeri „Verifier.exe” ja käivitab selle nakkusvoo säilitamiseks.
Pahavara jätkab mitme abifaili genereerimist AppData\Local ja AppData\Roaming kaustades. Seejärel laadib see nendest failidest konfiguratsiooniandmed ja süstib pahatahtliku DLL-faili usaldusväärsesse Windowsi komponenti rundll32.exe, võimaldades pahavaral sujuvalt sulanduda legitiimsete protsessidega.
ValleyRATi aktiveerimine (Winos 4.0)
Viimases etapis juurutatakse ValleyRAT, mis on Gh0st RAT-i derivaat. Kui see on aktiivne, võimaldab see käskude kaugjuhtimist, pidevat jälgimist, andmete varastamist ja täielikku süsteemikontrolli. Kuigi Gh0st RAT-i variante omistatakse tavaliselt Hiina küberkurjategijate rühmitustele, püüab Silver Fox Venemaa elementide kaasamisega süüd teistele ümber suunata.
Lõpp-eesmärgid ja mõju
Silver Foxi tegevuse eesmärgid on nii finantsilised kui ka luureandmete kogumise. Rühmitus taotleb kasumit pettuste, kelmuste ja varguste kaudu, kogudes samal ajal tundlikku teavet, mis võib pakkuda geopoliitilist mõjuvõimu. Ohvrid seisavad silmitsi koheste tagajärgedega:
- Andmevargus ja konfidentsiaalse teabe avalikustamine.
- Pettuse või volitamata tegevuse tagajärjel tekkinud rahalised kahjud.
- Sisemiste süsteemide ja võrkude pikaajaline kahjustamine.
Miks see vale lipp on oluline?
Välismaise ohugrupi jäljendamisega säilitab Silver Fox usutava eitatavuse ja tegutseb ilma tavaliselt riiklikult toetatud üksustele suunatud kontrollita. See keerukas kõrvalehoidumisstrateegia koos pidevalt areneva nakkusahelaga rõhutab vajadust suurenenud valvsuse, tugevdatud lõpp-punkti kaitse ja pideva jälgimise järele, eriti organisatsioonide puhul, mis tegutsevad piirkondades, mida sageli ohustavad keerukad küberohud.
