הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית AtlasCross RAT

AtlasCross RAT

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT), כלי ניהול מרחוק
לתרגם ל:

קמפיין מתקפות סייבר בקנה מידה גדול מכוון באופן פעיל למשתמשים דוברי סינית באמצעות דומיינים מסוג typosquatt המחקים מותגי תוכנה מהימנים. אתרים מטעים אלה נועדו להפיץ טרויאני גישה מרחוק שלא תועד בעבר, המכונה AtlasCross RAT. הקמפיין ממנף את אמון המשתמשים ביישומים נפוצים, כולל לקוחות VPN, פלטפורמות העברת הודעות מוצפנות, כלי שיחות וידאו, עוקבי מטבעות קריפטוגרפיים ותוכנות מסחר אלקטרוני.

התשתית כוללת אחד עשר דומיינים זדוניים מאומתים המתחזים לשירותים ידועים כגון Surfshark VPN, Signal, Telegram, Zoom ו-Microsoft Teams. התחזות אסטרטגית זו מגבירה את הסבירות להדבקות מוצלחות על ידי ניצול היכרות עם המותג.

פרופיל שחקן איום: קולקטיב שועל הכסף

הקמפיין יוחס לקבוצת פשעי סייבר סינית פורה המכונה Silver Fox. קבוצה זו פועלת תחת מספר שמות בדויים, ביניהם SwimSnake, The Great Thief of Valley (גנב העמק), UTG-Q-1000 ו-Void Arachne. חוקרי אבטחה רואים בקבוצה זו אחת מאיומי הסייבר הפעילים ביותר בשנים האחרונות, במיוחד בשל התמקדותה המתמשכת בצוותי ניהול וכספים בתוך ארגונים.

סילבר פוקס משתמשת במגוון וקטורי הדבקה כגון פלטפורמות העברת הודעות, מיילים של פישינג ואתרי הפצת תוכנה מזויפת. מטרות הקבוצה כוללות שליטה מרחוק במערכות, גניבת נתונים רגישים והונאה פיננסית.

התפתחות התוכנות הזדוניות: מ-Gh0st RAT ל-AtlasCross

הופעתה של AtlasCross RAT מסמנת התקדמות משמעותית בערכת הכלים של Silver Fox לתוכנות זדוניות. פעולות קודמות הסתמכו במידה רבה על גרסאות נגזרות של Gh0st RAT, כולל ValleyRAT (הידוע גם בשם Winos 4.0), Gh0stCringe ו-HoldingHands RAT (Gh0stBins). AtlasCross מייצג אבולוציה מתוחכמת יותר, המשלבת מנגנוני התגנבות, ביצוע והתמדה משופרים.

פירוט שרשרת ההדבקה: מפיתוי לביצוע

שרשרת ההתקפה מתחילה באתרי אינטרנט הונאה שמטעים משתמשים להוריד ארכיוני ZIP. ארכיונים אלה מכילים מתקינים שפורסים גם אפליקציית פיתוי לגיטימית וגם קובץ בינארי של Autodesk שנגרם על ידי טרויאן. המתקין הזדוני מפעיל טוען קוד מעטפת שמפענח תצורה מוטמעת הנגזרת מ-Gh0st RAT.

תהליך זה מחלץ פרטי פיקוד ובקרה (C2) ומאחזר מטען של השלב השני מהדומיין 'bifa668.com' דרך יציאת TCP 9899. השלב הסופי מביא לביצוע בזיכרון של AtlasCross RAT, מה שמפחית משמעותית את הזיהוי על ידי כלי אבטחה מסורתיים.

תשתית זדונית: דומיינים חמושים

הקמפיין מדגים מערך תשתיתי מתואם, כאשר רוב הדומיינים הזדוניים נרשמו ב-27 באוקטובר 2025, דבר המצביע על תכנון מכוון. דומיינים שאושרו המשמשים להפצת תוכנות זדוניות כוללים:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
סיגנל-סיגנל.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

דומיינים אלה מחקים מקרוב שירותים לגיטימיים, ולעתים קרובות משלבים וריאציות טיפוגרפיות עדינות או מזהים אזוריים כדי למנוע חשד.

ניצול לרעה של אמון: תעודות חתימת קוד גנובות

כל המתקינים הזדוניים שזוהו חתומים באמצעות אותה תעודת חתימת קוד גנובה של אימות מורחב (EV) שהונפקה לחברה DUC FABULOUS CO., LTD, שבסיסה בהאנוי, וייטנאם. השימוש החוזר בתעודה זו במספר קמפיינים של תוכנות זדוניות שאינן קשורות, מצביע על תפוצה נרחבת בתוך המערכת האקולוגית של פושעי סייבר. טקטיקה זו משפרת את הלגיטימיות הנתפסת של קבצים בינאריים זדוניים ומסייעת לעקוף הגנות אבטחה.

יכולות מתקדמות: בתוך AtlasCross RAT

AtlasCross RAT מציג סט רב עוצמה של יכולות שנועדו לשמירה על חמקנות, עמידות ובקרה. הוא משלב את מסגרת PowerChell, מנוע ביצוע PowerShell מקורי ב-C/C++ אשר מטמיע את .NET Common Language Runtime (CLR) ישירות בתהליך התוכנה הזדונית.

לפני ביצוע פקודות, הנוזקה משביתה מנגנוני אבטחה מרכזיים כגון AMSI, ETW, מצב שפה מוגבלת ורישום ScriptBlock. התקשורת עם שרתי פקודה ובקרה מוצפנת באמצעות ChaCha20 עם מפתחות אקראיים לכל חבילה שנוצרים באמצעות יצירת מספרים אקראיים מבוססת חומרה.

פונקציות מפתח כוללות:

  • הזרקת DLL ממוקדת לתוך WeChat
  • חטיפת סשן של פרוטוקול שולחן עבודה מרוחק (RDP)
  • סיום חיבורים ברמת TCP מכלי אבטחה סיניים כגון 360 Safe, Huorong, Kingsoft ו-QQ PC Manager
  • מניפולציה של מערכת הקבצים וביצוע פקודות מעטפת
  • התמדה באמצעות יצירת משימות מתוזמנות

אסטרטגיה תפעולית: הטעיה בקנה מידה גדול

סילבר פוקס משתמשת באסטרטגיית דומיין רב-שכבתית כדי לשמור על אמינות ולהימנע מגילוי. זה כולל typosquatting, חטיפת דומיינים ומניפולציה של DNS, שלעתים קרובות משולבים עם מוסכמות מתן שמות ספציפיות לאזור כדי להפחית את חשדנות המשתמשים. יכולתה של הקבוצה לשכפל בצורה משכנעת שירותים לגיטימיים ממלאת תפקיד קריטי ביעילות הקמפיין.

הרחבת וקטורי התקיפה ברחבי אסיה

מאז דצמבר 2025 לפחות, הרחיבה הקבוצה את פעילותה במספר מדינות, כולל יפן, מלזיה, הפיליפינים, תאילנד, אינדונזיה, סינגפור והודו. שיטות התקיפה התפתחו עם הזמן, ועברו מהודעות דוא"ל פישינג עם קבצי PDF זדוניים לניצול לרעה של כלי ניטור וניהול מרחוק לגיטימיים אך בעלי תצורה שגויה, כגון SyncFuture TSM.

קמפיינים נוספים פרסו גם תוכנת גניבה מבוססת פייתון במסווה של אפליקציית וואטסאפ. פעילות מוקדמת יותר בינואר 2026 כללה פיתיונות בנושא מסים שכוונו למשתמשים הודים באמצעות תוכנה זדונית Blackmoon.

ארסנל גמיש: פעולות אדפטיביות נגד פשעי סייבר

סילבר פוקס מפגינה רמה גבוהה של גמישות תפעולית על ידי שילוב משפחות וטכניקות מרובות של תוכנות זדוניות. השימוש ב-ValleyRAT לצד כלי RMM וגנבים מותאמים אישית מבוססי Python מאפשר התאמה מהירה של שרשראות הדבקה. רבגוניות זו תומכת הן בקמפיינים אופורטוניסטיים בקנה מידה גדול והן בהתקפות אסטרטגיות ממוקדות יותר.

הקבוצה מפעילה מודל דו-מסלולי, המאזן בין התקפות נרחבות לבין פעולות מתוחכמות יותר שנועדו לגישה ארוכת טווח למערכת וחדירה עמוקה יותר לרשת.

דיוק של פישינג בחנית: מיקוד בקורבנות תאגידיים

בנוסף לקמפיינים רחבי היקף, סילבר פוקס מבצעת התקפות פישינג ממוקדות המכוונות לתעשיות ספציפיות, ובמיוחד יצרנים יפניים. התקפות אלו משתמשות בפיתיונות משכנעים ביותר הקשורים לציות לתקנות מס, התאמות שכר, שינויי תפקיד ותוכניות בעלות על מניות לעובדים.

לאחר פריסה, ValleyRAT מאפשר לתוקפים:

  • השג שליטה מרחוק מלאה על מערכות נגועות
  • איסוף נתונים רגישים ופיננסיים
  • ניטור פעילות המשתמשים בזמן אמת
  • שמרו על התמדה בתוך הרשת

רמת גישה זו מאפשרת לגורמי איום להסלים התקפות, לחלץ מידע סודי ולהתכונן לשלבי ניצול נוספים בתוך סביבות פרוצות.

מגמות

הכי נצפה

טוען...