AtlasCross RAT
Egy nagyszabású kibertámadási kampány aktívan célozza meg a kínaiul beszélő felhasználókat elgépelésekkel tarkított, megbízható szoftvermárkákat utánzó domaineken keresztül. Ezek a megtévesztő webhelyek egy korábban nem dokumentált, AtlasCross RAT néven ismert távoli hozzáférésű trójai terjesztésére szolgálnak. A kampány a széles körben használt alkalmazásokba, többek között VPN-kliensekbe, titkosított üzenetküldő platformokba, videokonferencia-eszközökbe, kriptovaluta-követőkbe és e-kereskedelmi szoftverekbe vetett felhasználói bizalmat használja ki.
Az infrastruktúra tizenegy megerősített kártékony domaint tartalmaz, amelyek ismert szolgáltatásokat, például Surfshark VPN-t, Signalt, Telegramot, Zoomot és Microsoft Teamst utánoznak. Ez a stratégiai megszemélyesítés növeli a sikeres fertőzések valószínűségét a márkaismertség kihasználásával.
Tartalomjegyzék
Fenyegető szereplő profilja: The Silver Fox Collective
A kampányt egy termékeny kínai kiberbűnözői csoportnak, a Silver Foxnak tulajdonítják. Ez a csoport több álnéven működik, többek között a SwimSnake, a The Great Thief of Valley (Valley Thief), az UTG-Q-1000 és a Void Arachne. A biztonsági kutatók ezt a csoportot az elmúlt évek egyik legaktívabb kiberfenyegetésének tartják, különösen a szervezetek vezetői és pénzügyi személyzetének folyamatos célba vétele miatt.
A Silver Fox különféle fertőzési vektorokat alkalmaz, például üzenetküldő platformokat, adathalász e-maileket és hamisított szoftvereket terjesztő webhelyeket. A csoport céljai közé tartozik a távoli rendszervezérlés, az érzékeny adatok ellopása és a pénzügyi csalások.
A kártevők fejlődése: a Gh0st RAT-tól az AtlasCross-ig
Az AtlasCross RAT megjelenése jelentős előrelépést jelent a Silver Fox kártevő eszköztárában. A korábbi műveletek nagymértékben támaszkodtak a Gh0st RAT-ból származó variánsokra, beleértve a ValleyRAT-ot (más néven Winos 4.0), a Gh0stCringe-et és a HoldingHands RAT-ot (Gh0stBins). Az AtlasCross egy kifinomultabb evolúciót képvisel, amely továbbfejlesztett lopakodási, végrehajtási és megmaradási mechanizmusokat tartalmaz.
Fertőzéslánc lebontása: a csalétektől a végrehajtásig
A támadási lánc csaló weboldalakkal kezdődik, amelyek ZIP archívumok letöltésére kényszerítik a felhasználókat. Ezek az archívumok olyan telepítőket tartalmaznak, amelyek mind legitim csalialkalmazást, mind trójai fertőzött Autodesk bináris fájlt telepítenek. A rosszindulatú telepítő elindít egy shellkód-betöltőt, amely visszafejti a Gh0st RAT-ból származó beágyazott konfigurációt.
Ez a folyamat kinyeri a Command-and-Control (C2) adatokat, és egy második szintű hasznos adatot kér le a „bifa668.com” domainről a 9899-es TCP porton keresztül. Az utolsó szakasz az AtlasCross RAT memórián belüli végrehajtását eredményezi, ami jelentősen csökkenti a hagyományos biztonsági eszközök általi észlelést.
Kártékony infrastruktúra: Fegyveres domainek
A kampány összehangolt infrastruktúra-felépítést mutat be, a legtöbb rosszindulatú domaint 2025. október 27-én regisztrálták, ami tudatos tervezésre utal. A rosszindulatú programok terjesztésére használt megerősített domainek a következők:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Ezek a domainek szorosan utánozzák a legitim szolgáltatásokat, gyakran finom tipográfiai eltéréseket vagy regionális azonosítókat építve be a gyanú elkerülése érdekében.
Bizalommal való visszaélés: Lopott kódaláíró tanúsítványok
Minden azonosított rosszindulatú telepítő ugyanazzal az ellopott, kiterjesztett érvényesítésű (EV) kódaláíró tanúsítvánnyal van aláírva, amelyet a vietnami Hanoiban székelő DUC FABULOUS CO., LTD vállalatnak adtak ki. A tanúsítvány több, egymással nem összefüggő rosszindulatú kampányban való újrafelhasználása széles körű elterjedést sugall a kiberbűnözői ökoszisztémán belül. Ez a taktika növeli a rosszindulatú bináris fájlok észlelt legitimitását, és segít megkerülni a biztonsági védelmet.
Speciális funkciók: Az AtlasCross RAT belsejében
Az AtlasCross RAT hatékony képességeket kínál a lopakodás, a folyamatos védelem és az ellenőrzés érdekében. Integrálja a PowerChell keretrendszert, egy natív C/C++ PowerShell végrehajtó motort, amely közvetlenül beágyazza a .NET Common Language Runtime (CLR) környezetet a kártevő támadási folyamatába.
A parancsok végrehajtása előtt a rosszindulatú program letiltja a kulcsfontosságú biztonsági mechanizmusokat, mint például az AMSI, az ETW, a korlátozott nyelvi mód és a ScriptBlock naplózás. A parancs- és vezérlőszerverekkel folytatott kommunikáció ChaCha20 titkosítással történik, csomagonkénti véletlenszerű kulcsokkal, hardveralapú véletlenszám-generálással.
A főbb funkciók a következők:
- Célzott DLL-befecskendezés a WeChat-be
- Távoli asztali protokoll (RDP) munkamenet-eltérítés
- TCP-szintű kapcsolatok megszakítása kínai biztonsági eszközökből, mint például a 360 Safe, a Huorong, a Kingsoft és a QQ PC Manager
- Fájlrendszer-manipuláció és shell parancsok végrehajtása
- Megbízhatóság ütemezett feladatlétrehozás révén
Műveleti stratégia: Nagy léptékű megtévesztés
A Silver Fox többrétegű domainstratégiát alkalmaz a hitelesség megőrzése és az észlelés elkerülése érdekében. Ez magában foglalja az elgépelést, a domain-eltérítést és a DNS-manipulációt, gyakran régióspecifikus elnevezési konvenciókkal kombinálva, hogy csökkentse a felhasználók gyanúját. A csoport azon képessége, hogy meggyőzően tudjon legitim szolgáltatásokat reprodukálni, kritikus szerepet játszik a kampány hatékonyságában.
Terjeszkedő támadási vektorok Ázsiában
Legalább 2025 decembere óta a csoport több országra kiterjesztette működését, beleértve Japánt, Malajziát, a Fülöp-szigeteket, Thaiföldet, Indonéziát, Szingapúrt és Indiát. A támadási módszerek az idők során fejlődtek, a rosszindulatú PDF-mellékleteket tartalmazó adathalász e-mailektől a legitim, de rosszul konfigurált távoli megfigyelő és kezelő eszközök, például a SyncFuture TSM visszaéléséig.
A későbbi kampányok során egy Python-alapú, WhatsApp alkalmazásnak álcázott információlopót is bevetettek. Korábban, 2026 januárjában egy adózási témájú csalira is sor került, amelyek a Blackmoon rosszindulatú programmal célozták meg az indiai felhasználókat.
Rugalmas Arzenál: Adaptív Kiberbűnözési Műveletek
A Silver Fox nagyfokú működési rugalmasságot mutat a több kártevőcsalád és technika kombinálásával. A ValleyRAT használata az RMM eszközökkel és az egyedi Python-alapú lopókkal együtt lehetővé teszi a fertőzési láncok gyors alkalmazkodását. Ez a sokoldalúság mind a nagyszabású opportunista kampányokat, mind a célzottabb, stratégiai támadásokat támogatja.
A csoport kettős sávú modellt működtet, amely egyensúlyt teremt a széles körű támadások és a kifinomultabb műveletek között, amelyeket a hosszú távú rendszerhozzáférésre és a mélyebb hálózati behatolásra terveztek.
Spear-phishing Precision: Vállalati áldozatok célba vétele
A széleskörű kampányok mellett a Silver Fox célzott, speciális iparágakat, különösen japán gyártókat célzó adathalász támadásokat is folytat. Ezek a támadások rendkívül meggyőző csalikat használnak, amelyek az adómegfelelés, a bérkiigazítások, a munkahelyváltások és az alkalmazottak részvénytulajdonlási terveivel kapcsolatosak.
Telepítés után a ValleyRAT lehetővé teszi a támadók számára, hogy:
- Teljes távvezérlés a fertőzött rendszerek felett
- Érzékeny és pénzügyi adatok gyűjtése
- Valós idejű felhasználói aktivitás figyelése
- A hálózaton belüli perzisztencia fenntartása
Ez a hozzáférési szint lehetővé teszi a fenyegető szereplők számára a támadások eszkalálását, bizalmas információk kiszivárgását és a további kihasználási szakaszokra való felkészülést a veszélyeztetett környezetekben.
