AtlasCross RUT
Plaša mēroga kiberuzbrukumu kampaņa aktīvi vēršas pret ķīniešu valodā runājošiem lietotājiem, izmantojot drukas kļūdainus domēnus, kas atdarina uzticamus programmatūras zīmolus. Šīs maldinošās vietnes ir izstrādātas, lai izplatītu iepriekš nedokumentētu attālās piekļuves Trojas zirgu, kas pazīstams kā AtlasCross RAT. Kampaņa izmanto lietotāju uzticību plaši izmantotām lietojumprogrammām, tostarp VPN klientiem, šifrētām ziņojumapmaiņas platformām, videokonferenču rīkiem, kriptovalūtu izsekotājiem un e-komercijas programmatūrai.
Infrastruktūra ietver vienpadsmit apstiprinātus ļaunprātīgus domēnus, kas atdarina labi pazīstamus pakalpojumus, piemēram, Surfshark VPN, Signal, Telegram, Zoom un Microsoft Teams. Šī stratēģiskā atdarināšana palielina veiksmīgas inficēšanās iespējamību, izmantojot zīmola atpazīstamību.
Satura rādītājs
Draudu izpildītāja profils: The Silver Fox Collective
Kampaņa tiek piedēvēta ražīgai ķīniešu kibernoziedznieku grupai, kas pazīstama kā Silver Fox. Šī grupa darbojas ar vairākiem pseidonīmiem, tostarp SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 un Void Arachne. Drošības pētnieki uzskata šo grupu par vienu no aktīvākajiem kiberdraudiem pēdējos gados, jo īpaši tāpēc, ka tā pastāvīgi mērķē uz vadības un finanšu personālu organizācijās.
Silver Fox izmanto dažādus inficēšanas vektorus, piemēram, ziņojumapmaiņas platformas, pikšķerēšanas e-pastus un viltotas programmatūras izplatīšanas vietnes. Grupas mērķi ietver attālinātu sistēmas kontroli, sensitīvu datu noplūdi un finanšu krāpšanu.
Ļaunprogrammatūras evolūcija: no Gh0st RAT līdz AtlasCross
AtlasCross RAT parādīšanās iezīmē ievērojamu progresu Silver Fox ļaunprogrammatūras rīku komplektā. Iepriekšējās darbības lielā mērā balstījās uz variantiem, kas atvasināti no Gh0st RAT, tostarp ValleyRAT (pazīstams arī kā Winos 4.0), Gh0stCringe un HoldingHands RAT (Gh0stBins). AtlasCross pārstāv sarežģītāku evolūciju, ietverot uzlabotus slepenības, izpildes un noturības mehānismus.
Infekcijas ķēdes sadalījums: no pievilināšanas līdz izpildei
Uzbrukumu ķēde sākas ar krāpnieciskām tīmekļa vietnēm, kas maldina lietotājus, lai tie lejupielādētu ZIP arhīvus. Šie arhīvi satur instalētājus, kas izvieto gan likumīgu mānekļa lietojumprogrammu, gan Trojas zirga piesārņotu Autodesk bināro failu. Ļaunprātīgais instalētājs sāk apvalkkoda ielādētāju, kas atšifrē no Gh0st RAT atvasinātu iegultu konfigurāciju.
Šis process iegūst komandvadības (C2) informāciju un izgūst otrā posma vērtumu no domēna “bifa668.com”, izmantojot TCP portu 9899. Pēdējā posmā tiek izpildīta AtlasCross RAT operētājsistēmas atmiņā, ievērojami samazinot atklāšanu ar tradicionālajiem drošības rīkiem.
Ļaunprātīga infrastruktūra: ieroču domēni
Kampaņa demonstrē koordinētu infrastruktūras izveidi, un lielākā daļa ļaunprātīgo domēnu tika reģistrēti 2025. gada 27. oktobrī, kas norāda uz apzinātu plānošanu. Apstiprinātie domēni, kas izmantoti ļaunprogrammatūras piegādei, ir šādi:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwwtalk-app.com
www-surfshark.com
www-teams.com
Šie domēni ir ļoti līdzīgi likumīgiem pakalpojumiem, bieži iekļaujot smalkas tipogrāfiskas variācijas vai reģionālus identifikatorus, lai izvairītos no aizdomām.
Uzticības ļaunprātīga izmantošana: nozagti koda parakstīšanas sertifikāti
Visi identificētie ļaunprātīgie instalētāji ir parakstīti, izmantojot vienu un to pašu nozagto paplašinātās validācijas (EV) koda parakstīšanas sertifikātu, kas izsniegts uzņēmumam DUC FABULOUS CO., LTD, kas atrodas Hanojā, Vjetnamā. Šī sertifikāta atkārtota izmantošana vairākās nesaistītās ļaunprogrammatūras kampaņās liecina par plašu tā apriti kibernoziedznieku ekosistēmā. Šī taktika pastiprina ļaunprātīgo bināro failu uztverto leģitimitāti un palīdz apiet drošības aizsardzības mehānismus.
Paplašinātas iespējas: AtlasCross RAT iekšpusē
AtlasCross RAT ievieš jaudīgu iespēju kopumu, kas paredzēts slepenībai, noturībai un kontrolei. Tas integrē PowerChell platformu — vietējo C/C++ PowerShell izpildes dzinēju, kas iegulda .NET Common Language Runtime (CLR) tieši ļaunprogrammatūras procesā.
Pirms komandu izpildes ļaunprogrammatūra atspējo galvenos drošības mehānismus, piemēram, AMSI, ETW, ierobežoto valodas režīmu un ScriptBlock reģistrēšanu. Saziņa ar komandu un vadības serveriem tiek šifrēta, izmantojot ChaCha20 ar nejaušām atslēgām katrā paketē, kas ģenerētas, izmantojot aparatūras bāzes nejaušo skaitļu ģenerēšanu.
Galvenās funkcijas ietver:
- Mērķtiecīga DLL injekcija pakalpojumā WeChat
- Attālā darbvirsmas protokola (RDP) sesijas nolaupīšana
- TCP līmeņa savienojumu pārtraukšana no tādiem Ķīnas drošības rīkiem kā 360 Safe, Huorong, Kingsoft un QQ PC Manager
- Failu sistēmas manipulācija un čaulas komandu izpilde
- Noturība, izmantojot plānoto uzdevumu izveidi
Darbības stratēģija: Maldināšana plašā mērogā
Lai saglabātu ticamību un izvairītos no atklāšanas, Silver Fox izmanto daudzslāņu domēnu stratēģiju. Tas ietver drukas kļūdu labošanu, domēnu nolaupīšanu un DNS manipulāciju, bieži vien apvienojumā ar reģionam specifiskām nosaukumu piešķiršanas konvencijām, lai mazinātu lietotāju aizdomas. Grupas spējai pārliecinoši atkārtot likumīgus pakalpojumus ir izšķiroša nozīme kampaņas efektivitātē.
Uzbrukumu vektoru paplašināšanās visā Āzijā
Kopš vismaz 2025. gada decembra grupa ir paplašinājusi savu darbību vairākās valstīs, tostarp Japānā, Malaizijā, Filipīnās, Taizemē, Indonēzijā, Singapūrā un Indijā. Uzbrukumu metodes laika gaitā ir attīstījušās, pārejot no pikšķerēšanas e-pastiem ar ļaunprātīgiem PDF pielikumiem uz likumīgu, bet nepareizi konfigurētu attālās uzraudzības un pārvaldības rīku, piemēram, SyncFuture TSM, ļaunprātīgu izmantošanu.
Turpmākajās kampaņās ir izmantota arī Python bāzēta informācijas zagļa programma, kas maskēta kā WhatsApp lietotne. Iepriekšējā aktivitāte 2026. gada janvārī ietvēra ar nodokļiem saistītus ēsmas veidus, kas vērsti pret Indijas lietotājiem ar Blackmoon ļaunprogrammatūru.
Elastīgs arsenāls: adaptīvas kibernoziegumu operācijas
Silver Fox demonstrē augstu operacionālās elastības pakāpi, apvienojot vairākas ļaunprogrammatūru saimes un metodes. ValleyRAT izmantošana kopā ar RMM rīkiem un pielāgotiem Python balstītiem zagļiem ļauj ātri pielāgot inficēšanas ķēdes. Šī daudzpusība atbalsta gan liela mēroga oportūnistiskas kampaņas, gan mērķtiecīgākus, stratēģiskākus uzbrukumus.
Grupa darbojas divējāda modeļa ietvaros, līdzsvarojot plaši izplatītus uzbrukumus ar sarežģītākām operācijām, kas paredzētas ilgtermiņa piekļuvei sistēmai un dziļākai tīkla iefiltrācijai.
Spear-phishing Precision: mērķtiecīga pieeja korporatīvajiem upuriem
Papildus plašām kampaņām Silver Fox veic mērķtiecīgus pikšķerēšanas uzbrukumus, kas vērsti pret konkrētām nozarēm, jo īpaši Japānas ražotājiem. Šajos uzbrukumos tiek izmantoti ļoti pārliecinoši ēsmas, kas saistītas ar nodokļu saistību izpildi, algu korekcijām, darba maiņu un darbinieku akciju īpašumtiesību plāniem.
Pēc izvietošanas ValleyRAT ļauj uzbrucējiem:
- Iegūstiet pilnīgu inficēto sistēmu attālinātu kontroli
- Ievākt sensitīvus un finanšu datus
- Lietotāju aktivitāšu uzraudzība reāllaikā
- Saglabāt pastāvīgumu tīklā
Šis piekļuves līmenis ļauj apdraudējumu radītājiem eskalēt uzbrukumus, izgūt konfidenciālu informāciju un sagatavoties turpmākiem ekspluatācijas posmiem apdraudētās vidēs.
