Silver Fox APT
Kiberdrošības eksperti ir atklājuši uzlabotu un nepārtraukti attīstošu pikšķerēšanas kampaņu, kuras galvenais mērķis ir lietotāji Taivānā. Šo operāciju, ko organizē apdraudējumu grupa, kas identificēta kā Silver Fox APT, izmanto ar ļaunprogrammatūru saistītus dokumentus un maldinošus e-pastus, lai piegādātu virkni bīstamu attālās piekļuves Trojas zirgu (RAT), tostarp HoldingHands RAT un Gh0stCringe, kas abi ir bēdīgi slavenā Gh0st RAT varianti.
Satura rādītājs
Pikšķerēšana ar pazīstamu seju: valdības iestāžu uzdošanās
Uzbrukums sākas ar pikšķerēšanas e-pastiem, kas uzdodas par oficiālām iestādēm, piemēram, Taivānas Nacionālo nodokļu biroju. Šajos e-pastos bieži ir iekļautas tēmas, kas saistītas ar nodokļiem, rēķiniem vai pensijām, lai izmantotu saņēmēju uzticību un pamudinātu viņus atvērt pievienotos failus. Dažās variācijās iegultie attēli, noklikšķinot uz tiem, kalpo kā ļaunprogrammatūras lejupielādes ierosinātāji, kas atspoguļo pāreju no tradicionālajiem uz dokumentiem balstītajiem ēsmām.
Ieroči dokumenti: PDF un ZIP faili kā ļaunprogrammatūras piegādes transportlīdzekļi
Galvenie piegādes mehānismi ir ļaunprātīgi PDF dokumenti vai ZIP arhīvi, kas pievienoti pikšķerēšanas e-pastiem. Šie faili satur saites, kas novirza lietotājus uz lejupielādes lapām, kurās tiek glabāti ZIP faili, kas satur:
- Likumīgi izskata izpildāmie faili
- Shellcode iekrāvēji
- Šifrēts apvalkkods
Izpildot šīs komponentes, tās darbojas kopā, lai izvietotu ļaunprogrammatūru, neizraisot trauksmes signālus.
Daudzpakāpju infekcijas ķēde: maldināšana slāņos
Infekcija attīstās vairākos sarežģītos posmos:
Čaulkoda ielādētāja aktivizēšana : Čaulkoda ielādētājs atšifrē un inicializē iegulto čaulkoda kodu.
DLL sānu ielāde : likumīgi binārie faili tiek ļaunprātīgi izmantoti, lai sānu ielādētu ļaunprātīgus DLL failus, tādējādi paslēpjot ļaunprogrammatūru redzamā vietā.
Anti-VM un privilēģiju eskalācija : šīs metodes nodrošina, ka ļaunprogrammatūra netiek atklāta smilškastes vidē un nodrošina paaugstinātas sistēmas privilēģijas.
Derīgā slodze un mērķis: spiegošana un kontrole
Galīgajā vērtajā datnē ir iekļauts fails ar nosaukumu “msgDb.dat”, kas darbojas kā primārais vadības un kontroles (C2) modulis. Kad tas ir aktīvs, tas:
- Ievāc sensitīvu lietotāja informāciju
- Lejupielādē papildu komponentus
- Iespējo attālo darbvirsmas vadību
- Pārvalda failus inficētajā sistēmā
Šīs iespējas liecina par nodomu uzturēt ilgtermiņa piekļuvi un uzraudzību apdraudētajās iekārtās.
Attīstības taktika: pastāvīga inovācija no Silver Fox APT
Silver Fox APT nepārtraukti pilnveido savu rīku komplektu un uzbrukuma tehnikas, ko apliecina tā izmantošana:
- Winos 4.0 ietvars
- Gh0stCringe izplatīšanās, izmantojot HTM lejupielādes lapas
- HoldingHands RAT (pazīstams arī kā Gh0stBins)
Grupas paļaušanās uz sarežģītu apvalkkodu, slāņveida ielādētājiem un dažādiem piegādes vektoriem liecina par pastāvīgiem centieniem izvairīties no atklāšanas un maksimāli palielināt infiltrācijas panākumus.
Secinājums: modrība ir galvenais cīņā pret sarežģītiem draudu veidotājiem
Šī kampaņa izceļ tādu APT grupu kā Silver Fox pieaugošo izsmalcinātību. Izmantojot uzticamas tēmas, maldinošus failu formātus un slepenas izpildes metodes, šie dalībnieki rada nopietnus draudus mērķorganizācijām. Nepārtraukta uzraudzība, savlaicīga ielāpu ieviešana un spēcīga e-pasta drošība ir kritiski svarīgi aizsardzības līdzekļi pret šādiem mainīgiem draudiem.
