Kampanja zlonamjernog softvera Silver Fox ValleyRAT
Prijetnja pod imenom Silver Fox pokrenula je složenu operaciju lažnog predstavljanja osmišljenu kako bi prikrila svoju aktivnost kao aktivnost ruske skupine. Kampanja se fokusira na korisnike koji govore kineski, uključujući zaposlenike zapadnih organizacija s prisustvom u Kini, te se uvelike oslanja na manipulaciju tražilicama i krivotvorene instalacijske programe za Microsoft Teams kako bi isporučila dobro poznatog trojanca za udaljeni pristup.
Sadržaj
Prerušen u ruskog glumca
Nedavna aktivnost Silver Foxa vrti se oko strateškog pokušaja obmanjivanja analitičara oponašanjem ruskih prijetnji. Kako bi pojačali tu iluziju, napadači ugrađuju ćiriličke elemente u modificirane ValleyRAT komponente, pa čak i pakiraju zlonamjerne datoteke s ruskim konvencijama imenovanja. Ovo namjerno usmjeravanje na pogrešno tumačenje komplicira atribuciju, a istovremeno omogućuje skupini da slijedi financijski i geopolitički motivirane ciljeve.
SEO trovanje i mamci na temu Teamsa
Od studenog 2025. Silver Fox provodi kampanju trovanja optimizacijom za tražilice (SEO) prilagođenu kako bi privukla žrtve koje traže Microsoft Teams. Za razliku od prethodnih operacija koje su zloupotrijebile alate poput Chromea, Telegrama, WPS Officea i DeepSeeka, ovaj val se fokusira isključivo na Teams.
Kompromitirani rezultati pretraživanja upućuju korisnike na lažnu web stranicu koja se predstavlja kao legitimna stranica za preuzimanje Teamsa. Umjesto originalnog softvera, žrtve primaju ZIP arhivu pod nazivom 'MSTчаmsSetup.zip' smještenu na Alibaba Cloudu. Ćirilični znakovi u nazivu datoteke pojačavaju narativ lažne zastave.
Trojanizirani instalacijski program i prikriveno postavljanje
Unutar ZIP datoteke nalazi se Setup.exe, modificirani instalacijski program za Teams dizajniran za pokretanje višefaznog kompromitiranja. Nakon pokretanja provodi provjere okruženja, skenira binarne datoteke povezane s određenim sigurnosnim alatom i mijenja postavke Microsoft Defendera dodavanjem pravila izuzeća. Također, u korisnikov direktorij AppData\Local smješta manipulirani Microsoftov instalacijski program - 'Verifier.exe' i pokreće ga kako bi održao tijek zaraze.
Zlonamjerni softver nastavlja generiranjem nekoliko pomoćnih datoteka u direktorijima AppData\Local i AppData\Roaming. Zatim učitava konfiguracijske podatke iz tih datoteka i ubrizgava zlonamjerni DLL u rundll32.exe, pouzdanu komponentu sustava Windows, omogućujući zlonamjernom softveru da se besprijekorno uklopi u legitimne procese.
Aktivacija ValleyRAT-a (Winos 4.0)
Završna faza rezultira raspoređivanjem ValleyRAT-a, izvedenice Gh0st RAT-a. Nakon što je aktivan, omogućuje daljinsko izvršavanje naredbi, trajni nadzor, krađu podataka i potpunu kontrolu sustava. Iako se varijante Gh0st RAT-a obično pripisuju kineskim kibernetičkim kriminalnim skupinama, uključivanje ruskih elemenata u Silver Foxu pokušava preusmjeriti krivnju.
Krajnji ciljevi i utjecaj
Operacije Silver Foxa služe i financijskim i obavještajnim svrhama. Grupa ostvaruje profit prijevarama, obmanjivanjem i krađom, a istovremeno prikuplja osjetljive informacije koje mogu pružiti geopolitičku prednost. Žrtve se suočavaju s neposrednim posljedicama:
- Krađa podataka i otkrivanje povjerljivih informacija.
- Financijski gubici zbog prijevare ili neovlaštenih aktivnosti.
- Dugoročno kompromitiranje unutarnjih sustava i mreža.
Zašto je ova lažna zastava važna
Imitirajući stranu prijetnju, Silver Fox održava uvjerljivu mogućnost poricanja i djeluje bez nadzora koji se obično usmjerava na subjekte koje sponzorira država. Ova sofisticirana strategija izbjegavanja, u kombinaciji s lancem zaraze koji se stalno razvija, naglašava potrebu za pojačanom budnošću, ojačanom obranom krajnjih točaka i kontinuiranim praćenjem, posebno za organizacije koje posluju u regijama koje su često meta složenih kibernetičkih prijetnji.
