Ponuda s popustom na više licenci
Baza prijetnji Malware AtlasCross RAT

AtlasCross RAT

Do Mezo. Malware, Napredna trajna prijetnja (APT), Alati za udaljenu administraciju. godine
Prevedi na:

Velika kampanja kibernetičkih napada aktivno cilja korisnike koji govore kineski putem domena s tipografskim greškama koje oponašaju pouzdane softverske marke. Ove obmanjujuće web stranice osmišljene su za distribuciju prethodno nedokumentiranog trojanca za udaljeni pristup poznatog kao AtlasCross RAT. Kampanja iskorištava povjerenje korisnika u široko korištene aplikacije, uključujući VPN klijente, platforme za šifrirano slanje poruka, alate za video konferencije, alate za praćenje kriptovaluta i softver za e-trgovinu.

Infrastruktura uključuje jedanaest potvrđenih zlonamjernih domena koje se lažno predstavljaju kao dobro poznate usluge poput Surfshark VPN-a, Signala, Telegrama, Zooma i Microsoft Teamsa. Ovo strateško lažno predstavljanje povećava vjerojatnost uspješnih infekcija iskorištavanjem poznatosti robne marke.

Profil glumca prijetnje: The Silver Fox Collective

Kampanja se pripisuje plodnoj kineskoj skupini za kibernetički kriminal poznatoj kao Silver Fox. Ova skupina djeluje pod više pseudonima, uključujući SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 i Void Arachne. Sigurnosni istraživači smatraju ovu skupinu jednom od najaktivnijih kibernetičkih prijetnji posljednjih godina, posebno zbog upornog ciljanja menadžerskog i financijskog osoblja unutar organizacija.

Silver Fox koristi različite vektore zaraze kao što su platforme za razmjenu poruka, phishing e-poruke i web-mjesta za distribuciju krivotvorenog softvera. Ciljevi grupe uključuju daljinsko upravljanje sustavom, krađu osjetljivih podataka i financijske prijevare.

Evolucija zlonamjernog softvera: od Gh0st RAT-a do AtlasCrossa

Pojava AtlasCross RAT-a označava značajan napredak u Silver Foxovom skupu alata za borbu protiv zlonamjernog softvera. Ranije operacije uvelike su se oslanjale na varijante izvedene iz Gh0st RAT-a, uključujući ValleyRAT (također poznat kao Winos 4.0), Gh0stCringe i HoldingHands RAT (Gh0stBins). AtlasCross predstavlja sofisticiraniju evoluciju, uključujući poboljšane mehanizme prikrivenosti, izvršenja i perzistencije.

Raspodjela lanca infekcije: Od mamaca do izvršenja

Lanac napada započinje lažnim web stranicama koje prevarom prisiljavaju korisnike da preuzmu ZIP arhive. Ove arhive sadrže instalacijske programe koji implementiraju i legitimnu aplikaciju mamac i trojanski Autodeskov binarni program. Zlonamjerni instalacijski program pokreće program za učitavanje shellcodea koji dešifrira ugrađenu konfiguraciju izvedenu iz Gh0st RAT-a.

Ovaj proces izdvaja detalje sustava Command-and-Control (C2) i dohvaća podatke druge faze s domene 'bifa668.com' preko TCP porta 9899. Završna faza rezultira izvršavanjem AtlasCross RAT-a u memoriji, što značajno smanjuje otkrivanje tradicionalnim sigurnosnim alatima.

Zlonamjerna infrastruktura: Oružja u domenama

Kampanja pokazuje koordiniranu postavku infrastrukture, s većinom zlonamjernih domena registriranih 27. listopada 2025., što ukazuje na namjerno planiranje. Potvrđene domene korištene za isporuku zlonamjernog softvera uključuju:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Ove domene blisko oponašaju legitimne usluge, često uključujući suptilne tipografske varijacije ili regionalne identifikatore kako bi se izbjegla sumnja.

Zlouporaba povjerenja: Ukradeni certifikati za potpisivanje koda

Svi identificirani zlonamjerni instalacijski programi potpisani su istim ukradenim certifikatom za potpisivanje koda s proširenom validacijom (EV) izdanim tvrtki DUC FABULOUS CO., LTD, sa sjedištem u Hanoiju u Vijetnamu. Ponovna upotreba ovog certifikata u više nepovezanih kampanja zlonamjernog softvera sugerira široko rasprostranjenu cirkulaciju unutar ekosustava kibernetičkog kriminala. Ova taktika poboljšava percipiranu legitimnost zlonamjernih binarnih datoteka i pomaže u zaobilaženju sigurnosnih obrana.

Napredne mogućnosti: Unutar AtlasCross RAT-a

AtlasCross RAT predstavlja snažan skup mogućnosti osmišljenih za prikrivenost, upornost i kontrolu. Integrira PowerChell framework, izvorni C/C++ PowerShell izvršni mehanizam koji ugrađuje .NET Common Language Runtime (CLR) izravno u proces zlonamjernog softvera.

Prije izvršavanja naredbi, zlonamjerni softver onemogućuje ključne sigurnosne mehanizme kao što su AMSI, ETW, Constrained Language Mode i ScriptBlock logging. Komunikacija s naredbenim i kontrolnim poslužiteljima šifrirana je pomoću ChaCha20 sa slučajnim ključevima po paketu generiranim putem hardverskog generiranja slučajnih brojeva.

Ključne funkcionalnosti uključuju:

  • Ciljano ubrizgavanje DLL-a u WeChat
  • Otmica sesije protokola udaljene radne površine (RDP)
  • Završavanje veza na TCP razini iz kineskih sigurnosnih alata kao što su 360 Safe, Huorong, Kingsoft i QQ PC Manager
  • Manipulacija datotečnim sustavom i izvršavanje naredbi ljuske
  • Upornost kroz kreiranje zakazanih zadataka

Operativna strategija: Obmana velikih razmjera

Silver Fox koristi višeslojnu strategiju domena kako bi održao kredibilitet i izbjegao otkrivanje. To uključuje tiposquatting, otmicu domene i manipulaciju DNS-om, često u kombinaciji s konvencijama imenovanja specifičnim za regiju kako bi se smanjila sumnja korisnika. Sposobnost grupe da uvjerljivo replicira legitimne usluge igra ključnu ulogu u učinkovitosti kampanje.

Širenje vektora napada diljem Azije

Od najmanje prosinca 2025., grupa je proširila svoje djelovanje na više zemalja, uključujući Japan, Maleziju, Filipine, Tajland, Indoneziju, Singapur i Indiju. Metode napada su se s vremenom razvijale, prelazeći od phishing e-poruka sa zlonamjernim PDF privitcima do zlouporabe legitimnih, ali pogrešno konfiguriranih alata za daljinsko praćenje i upravljanje kao što je SyncFuture TSM.

Naknadne kampanje također su koristile kradljivca informacija temeljenog na Pythonu prikrivenog kao WhatsApp aplikaciju. Ranije aktivnosti u siječnju 2026. uključivale su porezne mamce usmjerene na indijske korisnike sa zlonamjernim softverom Blackmoon.

Fleksibilni arsenal: Prilagodljive operacije kibernetičkog kriminala

Silver Fox pokazuje visok stupanj operativne fleksibilnosti kombinirajući više obitelji i tehnika zlonamjernog softvera. Korištenje ValleyRAT-a uz RMM alate i prilagođene stealere temeljene na Pythonu omogućuje brzu prilagodbu lanaca infekcije. Ova svestranost podržava i velike oportunističke kampanje i ciljanije, strateške napade.

Grupa djeluje po dvostrukom modelu, balansirajući široko rasprostranjene napade sa sofisticiranijim operacijama osmišljenim za dugoročni pristup sustavu i dublju infiltraciju mreže.

Preciznost pri krađi identiteta putem Spear Phishinga: Ciljanje korporativnih žrtava

Uz široke kampanje, Silver Fox provodi ciljane spear-phishing napade usmjerene na određene industrije, posebno japanske proizvođače. Ovi napadi koriste vrlo uvjerljive mamce povezane s poreznom usklađenošću, prilagodbama plaća, promjenama poslova i planovima vlasništva dionica zaposlenika.

Nakon implementacije, ValleyRAT omogućuje napadačima:

  • Ostvarite potpunu daljinsku kontrolu nad zaraženim sustavima
  • Prikupljanje osjetljivih i financijskih podataka
  • Pratite aktivnosti korisnika u stvarnom vremenu
  • Održavajte postojanost unutar mreže

Ova razina pristupa omogućuje prijetnjama eskalaciju napada, krađu povjerljivih informacija i pripremu za daljnje faze iskorištavanja unutar kompromitiranih okruženja.

U trendu

Nagledanije

Učitavam...