Silver Fox ValleyRAT ļaunprogrammatūras kampaņa
Draudu izpildītājs, kas darbojas ar vārdu Silver Fox, ir uzsācis sarežģītu viltus karoga operāciju, kuras mērķis ir maskēt savu darbību kā Krievijas grupas darbību. Kampaņa ir vērsta uz ķīniešu valodā runājošiem lietotājiem, tostarp Rietumu organizāciju darbiniekiem, kurām ir pārstāvniecības Ķīnā, un lielā mērā balstās uz meklētājprogrammu manipulācijām un viltotiem Microsoft Teams instalētājiem, lai piegādātu labi zināmu attālās piekļuves Trojas zirgu.
Satura rādītājs
Pārģērbies par krievu aktieri
"Silver Fox" nesenā darbība ir saistīta ar stratēģisku mēģinājumu maldināt analītiķus, atdarinot Krievijas draudu grupas. Lai pastiprinātu šo ilūziju, uzbrucēji iestrādā kirilicas elementus modificētās ValleyRAT komponentēs un pat iesaiņo ļaunprātīgus failus ar krievu stila nosaukumu konvencijām. Šī apzinātā maldināšana sarežģī attiecināšanas procesu, vienlaikus ļaujot grupai sasniegt finansiāli un ģeopolitiski motivētus mērķus.
SEO saindēšanās un komandu tematikas ēsmas
Kopš 2025. gada novembra Silver Fox ir īstenojusi meklētājprogrammu optimizācijas (SEO) saindēšanas kampaņu, kas pielāgota, lai pievilinātu upurus, kuri meklē Microsoft Teams. Atšķirībā no iepriekšējām operācijām, kurās tika ļaunprātīgi izmantoti tādi rīki kā Chrome, Telegram, WPS Office un DeepSeek, šī kampaņa koncentrējas tikai uz Teams.
Apdraudēti meklēšanas rezultāti novirza lietotājus uz krāpniecisku vietni, kas izliekas par likumīgu Teams lejupielādes lapu. Oriģinālas programmatūras vietā upuri saņem ZIP arhīvu ar nosaukumu “MSTчamsSetup.zip”, kas atrodas Alibaba Cloud platformā. Kirilicas rakstzīmes faila nosaukumā pastiprina viltus karodziņu.
Trojiešu instalētājs un slepena izvietošana
ZIP failā atrodas Setup.exe — modificēts Teams instalētājs, kas izstrādāts, lai ierosinātu daudzpakāpju kompromitēšanu. Pēc izpildes tas veic vides pārbaudes, skenē bināros failus, kas saistīti ar konkrētu drošības rīku, un maina Microsoft Defender iestatījumus, pievienojot izslēgšanas noteikumus. Tas arī ievieto manipulētu Microsoft instalētāju — “Verifier.exe” — lietotāja AppData\Local direktorijā un palaiž to, lai uzturētu inficēšanas plūsmu.
Ļaunprogramma turpina darbu, ģenerējot vairākus palīgfailus AppData\Local un AppData\Roaming mapēs. Pēc tam tā ielādē konfigurācijas datus no šiem failiem un ievieto ļaunprātīgu DLL failu rundll32.exe — uzticamā Windows komponentā, ļaujot ļaunprogrammatūrai nemanāmi saplūst ar likumīgiem procesiem.
ValleyRAT aktivizēšana (Winos 4.0)
Pēdējā posmā tiek ieviesta ValleyRAT, kas ir Gh0st RAT atvasinājums. Kad tas ir aktīvs, tas ļauj attālināti izpildīt komandas, veikt pastāvīgu uzraudzību, datu zādzības un pilnīgu sistēmas kontroli. Lai gan Gh0st RAT varianti parasti tiek piedēvēti Ķīnas kibernoziedznieku grupējumiem, Silver Fox, iekļaujot krievu elementus, cenšas pāradresēt vainu uz citu.
Gala mērķi un ietekme
"Silver Fox" darbības kalpo gan finanšu, gan izlūkošanas vākšanas mērķiem. Grupa gūst peļņu, izmantojot krāpšanu, blēdības un zādzības, vienlaikus iegūstot arī sensitīvu informāciju, kas var sniegt ģeopolitisku ietekmi. Cietušie saskaras ar tūlītējām sekām:
- Datu zādzība un konfidenciālas informācijas izpaušana.
- Finansiāli zaudējumi krāpšanas vai neatļautas darbības rezultātā.
- Iekšējo sistēmu un tīklu ilgtermiņa kompromitēšana.
Kāpēc šis viltus karogs ir svarīgs
Atdarinot ārvalstu apdraudējumu grupu, Silver Fox saglabā ticamu noliedzamību un darbojas bez pārbaudes, kas parasti tiek vērsta uz valsts sponsorētām vienībām. Šī sarežģītā izvairīšanās stratēģija apvienojumā ar mainīgo inficēšanās ķēdi uzsver nepieciešamību pēc paaugstinātas modrības, nostiprinātas galapunktu aizsardzības un nepārtrauktas uzraudzības, īpaši organizācijām, kas darbojas reģionos, kurus bieži apdraud sarežģīti kiberdraudi.
