قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار AtlasCross RAT

AtlasCross RAT

تا Mezo در بدافزار, تهدید مداوم پیشرفته (APT), ابزارهای مدیریت از راه دور
ترجمه به:

یک کمپین حمله سایبری در مقیاس بزرگ، کاربران چینی‌زبان را از طریق دامنه‌های typosquatted که از برندهای نرم‌افزاری معتبر تقلید می‌کنند، هدف قرار می‌دهد. این وب‌سایت‌های فریبنده برای توزیع یک تروجان دسترسی از راه دور که قبلاً مستند نشده بود و AtlasCross RAT نام دارد، طراحی شده‌اند. این کمپین از اعتماد کاربران به برنامه‌های پرکاربرد، از جمله کلاینت‌های VPN، پلتفرم‌های پیام‌رسان رمزگذاری‌شده، ابزارهای کنفرانس ویدیویی، ردیاب‌های ارزهای دیجیتال و نرم‌افزارهای تجارت الکترونیک، سوءاستفاده می‌کند.

این زیرساخت شامل یازده دامنه‌ی مخرب تأیید شده است که خود را به جای سرویس‌های شناخته‌شده‌ای مانند Surfshark VPN، Signal، Telegram، Zoom و Microsoft Teams جا می‌زنند. این جعل هویت استراتژیک با سوءاستفاده از آشنایی با برند، احتمال آلودگی‌های موفق را افزایش می‌دهد.

مشخصات عامل تهدید: گروه روباه نقره‌ای

این کمپین به یک گروه جرایم سایبری چینی فعال به نام Silver Fox نسبت داده شده است. این گروه با نام‌های مستعار متعددی از جمله SwimSnake، The Great Thief of Valley (Valley Thief)، UTG-Q-1000 و Void Arachne فعالیت می‌کند. محققان امنیتی این گروه را به دلیل هدف قرار دادن مداوم پرسنل مدیریتی و مالی در سازمان‌ها، یکی از فعال‌ترین تهدیدات سایبری در سال‌های اخیر می‌دانند.

سیلور فاکس از مسیرهای آلوده‌سازی متنوعی مانند پلتفرم‌های پیام‌رسان، ایمیل‌های فیشینگ و سایت‌های توزیع نرم‌افزارهای تقلبی استفاده می‌کند. اهداف این گروه شامل کنترل از راه دور سیستم، استخراج داده‌های حساس و کلاهبرداری مالی است.

تکامل بدافزار: از Gh0st RAT تا AtlasCross

ظهور AtlasCross RAT نشان‌دهنده پیشرفت قابل توجهی در مجموعه ابزارهای بدافزاری Silver Fox است. عملیات‌های پیشین به شدت به انواع مشتق‌شده از Gh0st RAT، از جمله ValleyRAT (همچنین با نام Winos 4.0 شناخته می‌شود)، Gh0stCringe و HoldingHands RAT (Gh0stBins) متکی بودند. AtlasCross نشان‌دهنده تکامل پیچیده‌تری است که شامل مکانیسم‌های پنهان‌کاری، اجرا و پایداری پیشرفته‌تری است.

تجزیه زنجیره آلودگی: از فریب تا اجرا

زنجیره حمله با وب‌سایت‌های جعلی آغاز می‌شود که کاربران را فریب می‌دهند تا آرشیوهای ZIP را دانلود کنند. این آرشیوها حاوی نصب‌کننده‌هایی هستند که هم یک برنامه‌ی جعلی قانونی و هم یک فایل باینری اتودسک آلوده به تروجان را مستقر می‌کنند. نصب‌کننده‌ی مخرب یک بارگذاری‌کننده‌ی shellcode را آغاز می‌کند که پیکربندی جاسازی‌شده‌ی مشتق‌شده از Gh0st RAT را رمزگشایی می‌کند.

این فرآیند جزئیات فرماندهی و کنترل (C2) را استخراج کرده و یک payload مرحله دوم را از دامنه 'bifa668.com' از طریق پورت TCP 9899 بازیابی می‌کند. مرحله آخر منجر به اجرای AtlasCross RAT در حافظه می‌شود که به طور قابل توجهی تشخیص توسط ابزارهای امنیتی سنتی را کاهش می‌دهد.

زیرساخت‌های مخرب: دامنه‌های مسلح

این کمپین، یک زیرساخت هماهنگ را نشان می‌دهد که اکثر دامنه‌های مخرب در ۲۷ اکتبر ۲۰۲۵ ثبت شده‌اند و این نشان دهنده برنامه‌ریزی عمدی است. دامنه‌های تأیید شده مورد استفاده برای توزیع بدافزار عبارتند از:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwwtalk-app.com
www-surfshark.com
www-teams.com

این دامنه‌ها به شدت از سرویس‌های قانونی تقلید می‌کنند و اغلب برای جلوگیری از سوءظن، تغییرات تایپی ظریف یا شناسه‌های منطقه‌ای را در خود جای می‌دهند.

سوءاستفاده از اعتماد: گواهی‌های امضای کد سرقت‌شده

تمام نصب‌کننده‌های مخرب شناسایی‌شده با استفاده از همان گواهی امضای کد اعتبارسنجی توسعه‌یافته (EV) سرقت‌شده که به DUC FABULOUS CO., LTD، شرکتی مستقر در هانوی، ویتنام، صادر شده است، امضا شده‌اند. استفاده مجدد از این گواهی در چندین کمپین بدافزاری نامرتبط، نشان‌دهنده گردش گسترده آن در اکوسیستم جرایم سایبری است. این تاکتیک، مشروعیت درک‌شده از فایل‌های باینری مخرب را افزایش می‌دهد و به دور زدن دفاع‌های امنیتی کمک می‌کند.

قابلیت‌های پیشرفته: درون AtlasCross RAT

AtlasCross RAT مجموعه‌ای قدرتمند از قابلیت‌های طراحی‌شده برای پنهان‌کاری، پایداری و کنترل را معرفی می‌کند. این ابزار، چارچوب PowerChell، یک موتور اجرایی بومی C/C++ PowerShell که زمان اجرای زبان مشترک .NET (CLR) را مستقیماً در فرآیند بدافزار جاسازی می‌کند، ادغام می‌کند.

قبل از اجرای دستورات، این بدافزار مکانیسم‌های امنیتی کلیدی مانند AMSI، ETW، Constrained Language Mode و ScriptBlock logging را غیرفعال می‌کند. ارتباط با سرورهای فرمان و کنترل با استفاده از ChaCha20 با کلیدهای تصادفی برای هر بسته که از طریق تولید اعداد تصادفی مبتنی بر سخت‌افزار تولید می‌شوند، رمزگذاری می‌شود.

قابلیت‌های کلیدی عبارتند از:

  • تزریق هدفمند DLL به WeChat
  • ربودن جلسه پروتکل دسکتاپ از راه دور (RDP)
  • قطع اتصالات در سطح TCP از ابزارهای امنیتی چینی مانند 360 Safe، Huorong، Kingsoft و QQ PC Manager
  • دستکاری سیستم فایل و اجرای دستورات shell
  • پایداری از طریق ایجاد وظایف زمان‌بندی‌شده

استراتژی عملیاتی: فریب در مقیاس بزرگ

سیلور فاکس از یک استراتژی دامنه چندلایه برای حفظ اعتبار و جلوگیری از شناسایی استفاده می‌کند. این شامل تایپواسکاتینگ، ربودن دامنه و دستکاری DNS می‌شود که اغلب با قراردادهای نامگذاری خاص منطقه ترکیب می‌شود تا سوءظن کاربر را کاهش دهد. توانایی این گروه در کپی‌برداری متقاعدکننده از سرویس‌های قانونی، نقش مهمی در اثربخشی این کمپین ایفا می‌کند.

گسترش مسیرهای حمله در سراسر آسیا

از حداقل دسامبر ۲۰۲۵، این گروه عملیات خود را در چندین کشور، از جمله ژاپن، مالزی، فیلیپین، تایلند، اندونزی، سنگاپور و هند گسترش داده است. روش‌های حمله به مرور زمان تکامل یافته‌اند و از ایمیل‌های فیشینگ با پیوست‌های مخرب PDF به سوءاستفاده از ابزارهای نظارت و مدیریت از راه دور قانونی اما با پیکربندی نادرست مانند SyncFuture TSM تبدیل شده‌اند.

کمپین‌های بعدی همچنین یک دزد اطلاعات مبتنی بر پایتون را که در قالب یک برنامه واتس‌اپ پنهان شده بود، مستقر کردند. فعالیت‌های قبلی در ژانویه ۲۰۲۶ شامل فریب‌های با موضوع مالیات بود که کاربران هندی را با بدافزار Blackmoon هدف قرار می‌داد.

زرادخانه انعطاف‌پذیر: عملیات تطبیقی جرایم سایبری

سیلور فاکس با ترکیب چندین خانواده و تکنیک بدافزار، درجه بالایی از انعطاف‌پذیری عملیاتی را نشان می‌دهد. استفاده از ValleyRAT در کنار ابزارهای RMM و دزدگیرهای سفارشی مبتنی بر پایتون، امکان تطبیق سریع زنجیره‌های آلودگی را فراهم می‌کند. این تطبیق‌پذیری، هم از کمپین‌های فرصت‌طلبانه در مقیاس بزرگ و هم از حملات هدفمندتر و استراتژیک پشتیبانی می‌کند.

این گروه یک مدل دوگانه را اجرا می‌کند، که حملات گسترده را با عملیات پیچیده‌تر که برای دسترسی بلندمدت به سیستم و نفوذ عمیق‌تر به شبکه طراحی شده‌اند، متعادل می‌کند.

دقت در فیشینگ هدفمند: هدف قرار دادن قربانیان شرکتی

سیلور فاکس علاوه بر کمپین‌های گسترده، حملات فیشینگ هدفمندی را علیه صنایع خاص، به ویژه تولیدکنندگان ژاپنی، انجام می‌دهد. این حملات از فریب‌های بسیار متقاعدکننده‌ای در رابطه با رعایت مالیات، تعدیل حقوق، تغییر شغل و برنامه‌های مالکیت سهام کارکنان استفاده می‌کنند.

پس از استقرار، ValleyRAT به مهاجمان امکان می‌دهد:

  • کنترل کامل از راه دور سیستم‌های آلوده را به دست بگیرید
  • جمع‌آوری داده‌های حساس و مالی
  • نظارت بر فعالیت کاربران به صورت لحظه‌ای
  • حفظ پایداری در شبکه

این سطح دسترسی به مهاجمان اجازه می‌دهد تا حملات را تشدید کنند، اطلاعات محرمانه را استخراج کنند و برای مراحل بعدی بهره‌برداری در محیط‌های آسیب‌پذیر آماده شوند.

پرطرفدار

پربیننده ترین

بارگذاری...