Silver Fox APT

Kyberturvallisuusasiantuntijat ovat paljastaneet edistyneen ja jatkuvasti kehittyvän tietojenkalastelukampanjan, joka kohdistuu pääasiassa Taiwanin käyttäjiin. Silver Fox APT:ksi tunnistetun uhkaryhmän järjestämässä operaatiossa käytetään haittaohjelmia sisältävää dokumenttia ja harhaanjohtavia sähköposteja levittääkseen sarjan vaarallisia etäkäyttötroijalaisia (RAT). Näitä ovat muun muassa HoldingHands RAT ja Gh0stCringe, jotka molemmat ovat pahamaineisen Gh0st RAT -haavoittuvuuden muunnelmia.

Tutun kasvon omaavan henkilön tietojenkalastelu: Viranomaisten henkilöllisyyden anastus

Hyökkäys alkaa tietojenkalasteluviesteillä, jotka tekeytyvät virallisiksi yksiköiksi, kuten Taiwanin kansalliseksi verovirastoksi. Nämä sähköpostit sisältävät usein veroihin, laskuihin tai eläkkeisiin liittyviä teemoja, joilla pyritään hyödyntämään vastaanottajien luottamusta ja saamaan heidät avaamaan liitetiedostoja. Joissakin muunnelmissa upotetut kuvat toimivat haittaohjelmien latauksen laukaisimina klikattaessa, mikä edustaa muutosta perinteisistä asiakirjapohjaisista houkuttimista.

Aseistetut dokumentit: PDF- ja ZIP-tiedostot haittaohjelmien levittäjinä

Ensisijaiset toimitustavat ovat haitalliset PDF-tiedostot tai tietojenkalastelusähköposteihin liitetyt ZIP-arkistot. Nämä tiedostot sisältävät linkkejä, jotka ohjaavat käyttäjät lataussivuille, joilla on ZIP-tiedostoja, jotka sisältävät:

• Laillisen näköiset suoritettavat tiedostot
• Shellcode-kuormaajat
• Salattu shell-koodi

Kun nämä komponentit suoritetaan, ne toimivat yhdessä levittääkseen haittaohjelman ilman hälytyksiä.

Monivaiheinen tartuntaketju: Petos kerroksittain

Infektio etenee useissa monimutkaisissa vaiheissa:

Shellcode-lataajan aktivointi : Shellcode-lataaja purkaa ja käynnistää upotetun shellcode-tiedoston.

DLL-tiedostojen sivulataus : Laillisia binääritiedostoja käytetään väärin haitallisten DLL-tiedostojen sivulataukseen, jolloin haittaohjelma piilotetaan näkyviltä.

VM-torjunta ja oikeuksien eskalointi : Nämä tekniikat varmistavat, että haittaohjelma ei havaitse eristetyissä ympäristöissä ja että sillä on laajennetut järjestelmäoikeudet.

Hyötykuorma ja tarkoitus: Vakoilu ja valvonta

Lopullinen hyötykuorma sisältää tiedoston nimeltä 'msgDb.dat', joka toimii ensisijaisena komento- ja hallintamoduulina (C2). Kun se on aktiivinen, se:

• Kerää arkaluonteisia käyttäjätietoja
• Lataa lisäkomponentteja
• Mahdollistaa etätyöpöydän hallinnan
• Hallitsee tartunnan saaneen järjestelmän tiedostoja

Nämä ominaisuudet viittaavat aikomukseen ylläpitää pitkäaikaista pääsyä ja valvontaa vaarantuneille koneille.

Kehittyviä taktiikoita: Silver Fox APT:n johdonmukaista innovaatiota

Silver Fox APT hioo jatkuvasti työkalupakkiaan ja hyökkäystekniikoitaan, kuten sen käytössä näkyy:

• Winos 4.0 -kehys
• Gh0stCringen leviäminen HTM-lataussivujen kautta
• HoldingHands RAT (tunnetaan myös nimellä Gh0stBins)

Ryhmän luottaminen monimutkaiseen shell-koodiin, kerroslataimiin ja vaihteleviin toimitusvektoreihin osoittaa jatkuvaa pyrkimystä välttää havaitsemista ja maksimoida tunkeutumisen onnistuminen.

Johtopäätös: Valppaus on avainasemassa kehittyneitä uhkatoimijoita vastaan

Tämä kampanja korostaa Silver Foxin kaltaisten APT-ryhmien kasvavaa kehittyneisyyttä. Hyödyntämällä luotettavia teemoja, harhaanjohtavia tiedostomuotoja ja salaisia suoritustekniikoita nämä toimijat muodostavat vakavan uhan kohdeorganisaatioille. Jatkuva valvonta, oikea-aikainen korjaus ja vankka sähköpostin suojaus ovat kriittisiä puolustuskeinoja tällaisia kehittyviä uhkia vastaan.