Silver Fox APT

Kiberbiztonsági szakértők lelepleztek egy fejlett és folyamatosan fejlődő adathalász kampányt, amely elsősorban a tajvani felhasználókat célozza meg. A Silver Fox APT néven azonosított fenyegetéscsoport által szervezett művelet kártevőkkel teli dokumentumokat és megtévesztő e-maileket használ veszélyes távoli hozzáférésű trójai programok (RAT) terjesztésére, beleértve a HoldingHands RAT-ot és a Gh0stCringe-et, a hírhedt Gh0st RAT mindkét változatát.

Ismerős arcú adathalászat: Kormányzati hatóságok megszemélyesítése

A támadás adathalász e-mailekkel kezdődik, amelyek hivatalos szervezeteknek, például a tajvani Nemzeti Adóhivatalnak adják ki magukat. Ezek az e-mailek gyakran adókkal, számlákkal vagy nyugdíjakkal kapcsolatos témákat tartalmaznak, hogy kihasználják a címzettek bizalmát, és arra késztessék őket, hogy megnyissák a csatolt fájlokat. Egyes változatokban a beágyazott képek kattintás esetén rosszindulatú programok letöltését indítják el, ami elmozdulást jelent a hagyományos dokumentumalapú csalitól.

Fegyverré tett dokumentumok: PDF-ek és ZIP-ek, mint kártevőket szállító eszközök

Az elsődleges kézbesítési mechanizmusok a rosszindulatú PDF-dokumentumok vagy az adathalász e-mailekhez csatolt ZIP-archívumok. Ezek a fájlok olyan linkeket tartalmaznak, amelyek a felhasználókat olyan oldalak letöltésére irányítják át, amelyek a következőket tartalmazó ZIP-fájlokat tartalmaznak:

• Legálisnak tűnő futtatható fájlok
• Shellcode betöltők
• Titkosított shellkód

Végrehajtáskor ezek az összetevők együttesen működnek a rosszindulatú program riasztás nélküli telepítésében.

Többlépcsős fertőzési lánc: megtévesztés rétegekben

A fertőzés több bonyolult szakaszban zajlik:

Shellkód betöltő aktiválása : A shellkód betöltője dekódolja és elindítja a beágyazott shellkódot.

DLL oldaltöltés : A legitim binárisokat visszaélésszerűen használják rosszindulatú DLL fájlok oldaltöltésére, elrejtve a rosszindulatú fájlokat.

VM-védelem és jogosultság-eszkaláció : Ezek a technikák biztosítják, hogy a rosszindulatú program ne észlelhető legyen a sandboxos környezetekben, és megemelt rendszerjogosultságokat biztosítson.

Hasznos teher és cél: kémkedés és ellenőrzés

A végső hasznos adatcsomag tartalmaz egy „msgDb.dat” nevű fájlt, amely az elsődleges Command-and-Control (C2) modulként működik. Aktiválás után a következőket teszi:

• Érzékeny felhasználói adatokat gyűjt
• További komponensek letöltése
• Engedélyezi a távoli asztali vezérlést
• Kezeli a fájlokat a fertőzött rendszeren

Ezek a képességek arra utalnak, hogy a feltört gépeken hosszú távon fenn kell tartani a hozzáférést és a megfigyelést.

Fejlődő taktikák: Állandó innováció a Silver Fox APT-től

A Silver Fox APT folyamatosan finomítja eszköztárát és támadási technikáit, amint azt a következők használata is mutatja:

• Winos 4.0 keretrendszer
• Gh0stCringe terjedése HTM letöltési oldalakon keresztül
• HoldingHands RAT (más néven Gh0stBins)

A csoport összetett shellkódra, réteges betöltőkre és változó kézbesítési vektorokra való támaszkodása a felderítés elkerülésére és a behatolás sikerességének maximalizálására irányuló kitartó erőfeszítést mutat.

Következtetés: Az éberség kulcsfontosságú a kifinomult fenyegetésekkel szemben

Ez a kampány rávilágít az olyan APT-csoportok, mint a Silver Fox, egyre kifinomultabb működésére. Megbízható témák, megtévesztő fájlformátumok és lopakodó végrehajtási technikák kihasználásával ezek a szereplők komoly fenyegetést jelentenek a célzott szervezetekre. A folyamatos megfigyelés, az időben történő javítások és a hatékony e-mail-biztonság kritikus fontosságú védelem az ilyen folyamatosan változó fenyegetésekkel szemben.