Silver Fox APT

साइबर सुरक्षा विशेषज्ञों ने एक उन्नत और विकसित फ़िशिंग अभियान का पर्दाफाश किया है जो मुख्य रूप से ताइवान में उपयोगकर्ताओं को लक्षित करता है। सिल्वर फॉक्स एपीटी नामक एक खतरनाक समूह द्वारा संचालित, यह ऑपरेशन मैलवेयर से भरे दस्तावेज़ों और भ्रामक ईमेल का उपयोग करके खतरनाक रिमोट एक्सेस ट्रोजन (आरएटी) की एक श्रृंखला वितरित करता है, जिसमें होल्डिंगहैंड्स आरएटी और घोस्टक्रिंग शामिल हैं, जो कुख्यात घोस्ट आरएटी के दोनों प्रकार हैं।

परिचित चेहरे से फ़िशिंग: सरकारी अधिकारियों का प्रतिरूपण

यह हमला ताइवान के राष्ट्रीय कराधान ब्यूरो जैसी आधिकारिक संस्थाओं का प्रतिरूपण करने वाले फ़िशिंग ईमेल से शुरू होता है। इन ईमेल में अक्सर करों, चालानों या पेंशन से संबंधित विषय शामिल होते हैं ताकि प्राप्तकर्ताओं के विश्वास का फायदा उठाया जा सके और उन्हें संलग्न फ़ाइलें खोलने के लिए प्रेरित किया जा सके। कुछ रूपों में, एम्बेडेड छवियाँ क्लिक करने पर मैलवेयर डाउनलोड के लिए ट्रिगर के रूप में काम करती हैं, जो पारंपरिक दस्तावेज़-आधारित लालच से बदलाव का प्रतिनिधित्व करती हैं।

हथियारबंद दस्तावेज: मैलवेयर पहुंचाने वाले वाहन के रूप में पीडीएफ और ज़िप

प्राथमिक वितरण तंत्र दुर्भावनापूर्ण PDF दस्तावेज़ या फ़िशिंग ईमेल से जुड़े ज़िप अभिलेखागार हैं। इन फ़ाइलों में लिंक होते हैं जो उपयोगकर्ताओं को ज़िप फ़ाइलों को होस्ट करने वाले डाउनलोड पृष्ठों पर पुनर्निर्देशित करते हैं:

• वैध दिखने वाले निष्पादनयोग्य
• शेलकोड लोडर
• एन्क्रिप्टेड शेलकोड

जब इन्हें क्रियान्वित किया जाता है, तो ये घटक बिना किसी अलार्म के मैलवेयर को तैनात करने के लिए मिलकर काम करते हैं।

बहु-चरणीय संक्रमण श्रृंखला: परतों में धोखा

संक्रमण कई जटिल चरणों में फैलता है:

शेलकोड लोडर सक्रियण : शेलकोड लोडर एम्बेडेड शेलकोड को डिक्रिप्ट और आरंभ करता है।

DLL साइड-लोडिंग : वैध बाइनरी का दुरुपयोग दुर्भावनापूर्ण DLL फ़ाइलों को साइड-लोड करने के लिए किया जाता है, जिससे मैलवेयर स्पष्ट रूप से छिप जाता है।

एंटी-वीएम और विशेषाधिकार वृद्धि : ये तकनीकें सुनिश्चित करती हैं कि मैलवेयर सैंडबॉक्स वाले वातावरण में पता लगाने से बचता है और उन्नत सिस्टम विशेषाधिकारों को सुरक्षित करता है।

पेलोड और उद्देश्य: जासूसी और नियंत्रण

अंतिम पेलोड में 'msgDb.dat' नामक एक फ़ाइल शामिल है, जो प्राथमिक कमांड-एंड-कंट्रोल (C2) मॉड्यूल के रूप में कार्य करती है। सक्रिय होने के बाद, यह:

• संवेदनशील उपयोगकर्ता जानकारी एकत्रित करता है
• अतिरिक्त घटक डाउनलोड करें
• दूरस्थ डेस्कटॉप नियंत्रण सक्षम करता है
• संक्रमित सिस्टम पर फ़ाइलों का प्रबंधन करता है

ये क्षमताएं, प्रभावित मशीनों पर दीर्घकालिक पहुंच और निगरानी बनाए रखने के इरादे का संकेत देती हैं।

विकसित होती रणनीति: सिल्वर फॉक्स एपीटी द्वारा निरंतर नवाचार

सिल्वर फॉक्स एपीटी अपने टूलसेट और आक्रमण तकनीकों को लगातार परिष्कृत करता रहता है, जैसा कि इसके उपयोग से देखा जा सकता है:

• विनोस 4.0 फ्रेमवर्क
• HTM डाउनलोड पृष्ठों के माध्यम से Gh0stCringe का प्रसार
• होल्डिंगहैंड्स आरएटी (जिसे घोस्टबिन्स के नाम से भी जाना जाता है)

जटिल शेलकोड, स्तरित लोडर और अलग-अलग डिलीवरी वैक्टर पर समूह की निर्भरता पता लगाने से बचने और घुसपैठ की सफलता को अधिकतम करने के लिए लगातार प्रयास को दर्शाती है।

निष्कर्ष: परिष्कृत खतरा पैदा करने वाले तत्वों के खिलाफ सतर्कता ही महत्वपूर्ण है

यह अभियान सिल्वर फॉक्स जैसे APT समूहों की बढ़ती हुई परिष्कृतता को उजागर करता है। विश्वसनीय थीम, भ्रामक फ़ाइल प्रारूपों और गुप्त निष्पादन तकनीकों का लाभ उठाकर, ये अभिनेता लक्षित संगठनों के लिए एक गंभीर खतरा पेश करते हैं। निरंतर निगरानी, समय पर पैचिंग और मजबूत ईमेल सुरक्षा ऐसे उभरते खतरों के खिलाफ महत्वपूर्ण बचाव हैं।