AtlasCross RIUČĖ
Didelės apimties kibernetinių atakų kampanija aktyviai nukreipta į kinų kalba kalbančius vartotojus per spausdinimo klaidų taikinius turinčius domenus, kurie imituoja patikimus programinės įrangos prekės ženklus. Šios apgaulingos svetainės sukurtos platinti anksčiau nedokumentuotą nuotolinės prieigos Trojos arklį, žinomą kaip „AtlasCross RAT“. Kampanija pasinaudoja vartotojų pasitikėjimu plačiai naudojamomis programomis, įskaitant VPN klientus, šifruotų pranešimų platformas, vaizdo konferencijų įrankius, kriptovaliutų sekiklius ir el. prekybos programinę įrangą.
Infrastruktūrą sudaro vienuolika patvirtintų kenkėjiškų domenų, apsimetančių gerai žinomomis paslaugomis, tokiomis kaip „Surfshark VPN“, „Signal“, „Telegram“, „Zoom“ ir „Microsoft Teams“. Šis strateginis apsimetinėjimas padidina sėkmingų užkrėtimų tikimybę, pasinaudojant prekės ženklo žinomumu.
Turinys
Grėsmės aktoriaus profilis: „Silver Fox Collective“
Kampanija buvo priskirta produktyviai Kinijos kibernetinių nusikaltimų grupuotei, žinomai kaip „Silver Fox“. Ši grupuotė veikia naudodama kelis slapyvardžius, įskaitant „SwimSnake“, „The Great Thief of Valley“ („Valley Thief“), UTG-Q-1000 ir „Void Arachne“. Saugumo tyrėjai šią grupuotę laiko viena aktyviausių kibernetinių grėsmių pastaraisiais metais, ypač dėl nuolatinio taikiniosi į organizacijų vadovus ir finansininkus.
„Silver Fox“ naudoja įvairius užkrato vektorius, tokius kaip pranešimų siuntimo platformos, sukčiavimo el. laiškai ir padirbtos programinės įrangos platinimo svetainės. Grupės tikslai apima nuotolinę sistemos kontrolę, jautrių duomenų nutekėjimą ir finansinį sukčiavimą.
Kenkėjiškų programų evoliucija: nuo „Gh0st RAT“ iki „AtlasCross“
„AtlasCross RAT“ atsiradimas žymi reikšmingą „Silver Fox“ kenkėjiškų programų rinkinio pažangą. Ankstesnės operacijos daugiausia rėmėsi iš „Gh0st RAT“ gautais variantais, įskaitant „ValleyRAT“ (taip pat žinomą kaip „Winos 4.0“), „Gh0stCringe“ ir „HoldingHands RAT“ („Gh0stBins“). „AtlasCross“ atstovauja sudėtingesnei evoliucijai, apimančiai patobulintus slaptumo, vykdymo ir atkaklumo mechanizmus.
Infekcijos grandinės išskaidymas: nuo viliojimo iki vykdymo
Atakų grandinė prasideda nuo apgaulingų svetainių, kurios apgaule išvilioja vartotojus iš ZIP archyvų atsisiuntimo. Šiuose archyvuose yra diegimo programos, kurios įdiegia ir teisėtą masalo programą, ir Trojos arkliu užkrėstą „Autodesk“ dvejetainį failą. Kenkėjiška diegimo programa paleidžia apvalkalo kodo įkėlimo programą, kuri iššifruoja įterptąją konfigūraciją, gautą iš „Gh0st RAT“.
Šis procesas išgauna komandų ir valdymo (C2) informaciją ir nuskaito antrojo etapo naudingąją apkrovą iš domeno „bifa668.com“ per TCP prievadą 9899. Paskutinio etapo metu atmintyje vykdomas „AtlasCross RAT“, o tai žymiai sumažina aptikimą tradicinėmis saugos priemonėmis.
Kenkėjiška infrastruktūra: Ginkluoti domenai
Kampanija demonstruoja koordinuotą infrastruktūros nustatymą, o dauguma kenkėjiškų domenų buvo užregistruoti 2025 m. spalio 27 d., o tai rodo sąmoningą planavimą. Patvirtinti domenai, naudojami kenkėjiškų programų platinimui:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
Šie domenai labai imituoja teisėtas paslaugas, dažnai įtraukdami subtilius tipografinius variantus arba regioninius identifikatorius, kad nekiltų įtarimų.
Piktnaudžiavimas pasitikėjimu: pavogti kodo pasirašymo sertifikatai
Visos identifikuotos kenkėjiškos diegimo programos yra pasirašytos naudojant tą patį pavogtą išplėstinio patvirtinimo (EV) kodo pasirašymo sertifikatą, išduotą Hanojuje (Vietnamas) įsikūrusiai bendrovei „DUC FABULOUS CO., LTD“. Šio sertifikato pakartotinis naudojimas keliose nesusijusiose kenkėjiškų programų kampanijose rodo plačiai paplitimą kibernetinių nusikaltimų ekosistemoje. Ši taktika sustiprina suvokiamą kenkėjiškų dvejetainių failų teisėtumą ir padeda apeiti saugumo gynybą.
Išplėstinės galimybės: „AtlasCross RAT“ viduje
„AtlasCross RAT“ pristato galingą funkcijų rinkinį, skirtą slaptam veikimui, pastovumui ir kontrolei. Jis integruoja „PowerChell“ sistemą – vietinį C/C++ „PowerShell“ vykdymo variklį, kuris tiesiogiai į kenkėjiškos programos procesą įterpia .NET bendros kalbos vykdymo aplinką (CLR).
Prieš vykdydama komandas, kenkėjiška programa išjungia pagrindinius saugumo mechanizmus, tokius kaip AMSI, ETW, apribotos kalbos režimas ir „ScriptBlock“ registravimas. Ryšys su komandų ir valdymo serveriais yra šifruojamas naudojant „ChaCha20“, o kiekvienam paketui generuojami atsitiktiniai raktai, generuojami aparatinės įrangos pagrindu.
Pagrindinės funkcijos:
- Tikslinė DLL injekcija į „WeChat“
- Nuotolinio darbalaukio protokolo (RDP) seanso užgrobimas
- TCP lygio ryšių nutraukimas iš Kinijos saugumo įrankių, tokių kaip „360 Safe“, „Huorong“, „Kingsoft“ ir „QQ PC Manager“
- Failų sistemos manipuliavimas ir apvalkalo komandų vykdymas
- Patvarumas kuriant suplanuotas užduotis
Veiklos strategija: apgaulė dideliu mastu
„Silver Fox“ taiko daugiasluoksnę domenų strategiją, kad išlaikytų patikimumą ir išvengtų aptikimo. Tai apima rašybos klaidų taisymą, domenų užgrobimą ir DNS manipuliavimą, dažnai derinamą su regionui būdingomis pavadinimų konvencijomis, siekiant sumažinti vartotojų įtarimus. Grupės gebėjimas įtikinamai atkartoti teisėtas paslaugas vaidina labai svarbų vaidmenį kampanijos veiksmingumui.
Plėtojami atakų vektoriai visoje Azijoje
Nuo mažiausiai 2025 m. gruodžio mėn. grupė išplėtė savo veiklą keliose šalyse, įskaitant Japoniją, Malaiziją, Filipinus, Tailandą, Indoneziją, Singapūrą ir Indiją. Atakų metodai laikui bėgant vystėsi – nuo sukčiavimo el. laiškų su kenkėjiškais PDF priedais iki teisėtų, bet netinkamai sukonfigūruotų nuotolinio stebėjimo ir valdymo įrankių, tokių kaip „SyncFuture TSM“, piktnaudžiavimo.
Vėlesnėse kampanijose taip pat buvo panaudota „Python“ pagrindu sukurta informacijos vagystė, užmaskuota kaip „WhatsApp“ programėlė. Ankstesnė veikla, 2026 m. sausio mėn., buvo susijusi su mokesčių tematikos masalais, nukreiptais į Indijos vartotojus naudojant „Blackmoon“ kenkėjišką programą.
Lankstus arsenalas: adaptyvios kibernetinių nusikaltimų operacijos
„Silver Fox“ demonstruoja didelį operacinį lankstumą, derindama kelias kenkėjiškų programų šeimas ir metodus. „ValleyRAT“ naudojimas kartu su RMM įrankiais ir pritaikytais „Python“ pagrindu sukurtais vagystės įrankiais leidžia greitai pritaikyti užkrėtimo grandines. Šis universalumas palaiko tiek didelio masto oportunistines kampanijas, tiek tikslingesnes, strategines atakas.
Grupė taiko dvigubą modelį, subalansuodama plačiai paplitusias atakas su sudėtingesnėmis operacijomis, skirtomis ilgalaikei prieigai prie sistemos ir gilesniam tinklo įsiskverbimui.
Tikslus sukčiavimas sukčiavimo būdu: taikinys į įmonių aukas
Be plačių kampanijų, „Silver Fox“ vykdo tikslines sukčiavimo atakas, nukreiptas į konkrečius pramonės sektorius, ypač Japonijos gamintojus. Šiose atakose naudojami labai įtikinami masalai, susiję su mokesčių mokėjimu, atlyginimų koregavimu, darbo vietų keitimu ir darbuotojų akcijų valdymo planais.
Įdiegus „ValleyRAT“, užpuolikai gali:
- Gaukite visišką užkrėstų sistemų nuotolinį valdymą
- Surinkite jautrius ir finansinius duomenis
- Stebėkite naudotojų veiklą realiuoju laiku
- Palaikykite nuoseklumą tinkle
Toks prieigos lygis leidžia grėsmių vykdytojams eskaluoti atakas, išgauti konfidencialią informaciją ir ruoštis tolesniems išnaudojimo etapams pažeistoje aplinkoje.
