Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad AtlasCross RAT

AtlasCross RAT

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT), Alat Pentadbiran Jauh
Terjemahkan ke

Satu kempen serangan siber berskala besar sedang giat menyasarkan pengguna berbahasa Cina melalui domain yang ditipu yang meniru jenama perisian yang dipercayai. Laman web yang mengelirukan ini direka bentuk untuk mengedarkan trojan akses jauh yang sebelum ini tidak didokumenkan yang dikenali sebagai AtlasCross RAT. Kempen ini memanfaatkan kepercayaan pengguna dalam aplikasi yang digunakan secara meluas, termasuk klien VPN, platform pesanan yang disulitkan, alat persidangan video, penjejak mata wang kripto dan perisian e-dagang.

Infrastruktur ini merangkumi sebelas domain berniat jahat yang disahkan menyamar sebagai perkhidmatan terkenal seperti Surfshark VPN, Signal, Telegram, Zoom dan Microsoft Teams. Penyamaran strategik ini meningkatkan kemungkinan jangkitan yang berjaya dengan mengeksploitasi keakraban jenama.

Profil Pelakon Ancaman: The Silver Fox Collective

Kempen ini telah dikaitkan dengan kumpulan jenayah siber Cina yang prolifik yang dikenali sebagai Silver Fox. Kumpulan ini beroperasi di bawah pelbagai alias, termasuk SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000, dan Void Arachne. Penyelidik keselamatan menganggap kumpulan ini sebagai salah satu ancaman siber paling aktif dalam beberapa tahun kebelakangan ini, terutamanya disebabkan oleh penyasaran berterusannya terhadap kakitangan pengurusan dan kewangan dalam organisasi.

Silver Fox menggunakan pelbagai vektor jangkitan seperti platform pesanan, e-mel pancingan data dan tapak pengedaran perisian palsu. Objektif kumpulan ini termasuk kawalan sistem jauh, penyaringan data sensitif dan penipuan kewangan.

Evolusi Perisian Hasad: Daripada Gh0st RAT kepada AtlasCross

Kemunculan AtlasCross RAT menandakan kemajuan yang ketara dalam kit alat perisian hasad Silver Fox. Operasi terdahulu banyak bergantung pada varian yang diperoleh daripada Gh0st RAT, termasuk ValleyRAT (juga dikenali sebagai Winos 4.0), Gh0stCringe dan HoldingHands RAT (Gh0stBins). AtlasCross mewakili evolusi yang lebih canggih, menggabungkan mekanisme penyembunyian, pelaksanaan dan ketekunan yang dipertingkatkan.

Pecahan Rantaian Jangkitan: Dari Umpan kepada Pelaksanaan

Rantaian serangan bermula dengan laman web palsu yang memperdaya pengguna untuk memuat turun arkib ZIP. Arkib ini mengandungi pemasang yang menggunakan aplikasi umpan yang sah dan binari Autodesk yang ditrojankan. Pemasang berniat jahat memulakan pemuat kod shell yang menyahsulit konfigurasi terbenam yang diperoleh daripada Gh0st RAT.

Proses ini mengekstrak butiran Perintah-dan-Kawalan (C2) dan mendapatkan muatan peringkat kedua daripada domain 'bifa668.com' melalui port TCP 9899. Peringkat terakhir menghasilkan pelaksanaan RAT AtlasCross dalam memori, sekali gus mengurangkan pengesanan dengan ketara oleh alat keselamatan tradisional.

Infrastruktur Berniat Jahat: Domain Dipersenjatai

Kempen ini menunjukkan persediaan infrastruktur yang diselaraskan, dengan kebanyakan domain berniat jahat didaftarkan pada 27 Oktober 2025, menunjukkan perancangan yang disengajakan. Domain yang disahkan digunakan untuk penghantaran perisian hasad termasuk:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Domain-domain ini meniru perkhidmatan yang sah, selalunya menggabungkan variasi tipografi yang halus atau pengecam serantau untuk mengelakkan syak wasangka.

Penyalahgunaan Amanah: Sijil Tandatangan Kod yang Dicuri

Semua pemasang berniat jahat yang dikenal pasti ditandatangani menggunakan sijil penandatanganan kod Pengesahan Lanjutan (EV) yang dicuri yang sama yang dikeluarkan kepada DUC FABULOUS CO., LTD, sebuah syarikat yang berpangkalan di Hanoi, Vietnam. Penggunaan semula sijil ini merentasi pelbagai kempen perisian hasad yang tidak berkaitan menunjukkan peredaran meluas dalam ekosistem jenayah siber. Taktik ini meningkatkan kesahan binari berniat jahat yang dirasakan dan membantu memintas pertahanan keselamatan.

Keupayaan Lanjutan: Di dalam AtlasCross RAT

AtlasCross RAT memperkenalkan satu set keupayaan berkuasa yang direka untuk penyembunyian, kegigihan dan kawalan. Ia mengintegrasikan rangka kerja PowerChell, enjin pelaksanaan C/C++ PowerShell natif yang membenamkan .NET Common Language Runtime (CLR) terus ke dalam proses perisian hasad.

Sebelum melaksanakan arahan, perisian hasad ini melumpuhkan mekanisme keselamatan utama seperti AMSI, ETW, Mod Bahasa Terkendali dan pembalakan ScriptBlock. Komunikasi dengan pelayan arahan dan kawalan disulitkan menggunakan ChaCha20 dengan kunci rawak setiap paket dijana melalui penjanaan nombor rawak berasaskan perkakasan.

Fungsi utama termasuk:

  • Suntikan DLL yang disasarkan ke dalam WeChat
  • Rampasan sesi Protokol Desktop Jauh (RDP)
  • Penamatan sambungan peringkat TCP daripada alat keselamatan Cina seperti 360 Safe, Huorong, Kingsoft dan QQ PC Manager
  • Manipulasi sistem fail dan pelaksanaan arahan shell
  • Kegigihan melalui penciptaan tugasan berjadual

Strategi Operasi: Penipuan pada Skala Besar

Silver Fox menggunakan strategi domain berbilang lapisan untuk mengekalkan kredibiliti dan mengelak pengesanan. Ini termasuk kesalahan taip, rampasan domain dan manipulasi DNS, yang sering digabungkan dengan konvensyen penamaan khusus rantau untuk mengurangkan syak wasangka pengguna. Keupayaan kumpulan untuk meniru perkhidmatan sah secara meyakinkan memainkan peranan penting dalam keberkesanan kempen.

Memperluas Vektor Serangan di Seluruh Asia

Sejak sekurang-kurangnya Disember 2025, kumpulan ini telah mengembangkan operasinya merentasi pelbagai negara, termasuk Jepun, Malaysia, Filipina, Thailand, Indonesia, Singapura dan India. Kaedah serangan telah berkembang dari semasa ke semasa, beralih daripada e-mel pancingan data dengan lampiran PDF yang berniat jahat kepada penyalahgunaan alat pemantauan dan pengurusan jarak jauh yang sah tetapi salah konfigurasi seperti SyncFuture TSM.

Kempen-kempen berikutnya juga telah menggunakan alat pencuri maklumat berasaskan Python yang menyamar sebagai aplikasi WhatsApp. Aktiviti terdahulu pada Januari 2026 melibatkan gewang bertemakan cukai yang menyasarkan pengguna India dengan perisian hasad Blackmoon.

Arsenal Fleksibel: Operasi Jenayah Siber Adaptif

Silver Fox menunjukkan tahap fleksibiliti operasi yang tinggi dengan menggabungkan pelbagai keluarga dan teknik perisian hasad. Penggunaan ValleyRAT bersama-sama alatan RMM dan pencuri berasaskan Python tersuai membolehkan penyesuaian pantas rantaian jangkitan. Fleksibiliti ini menyokong kempen oportunis berskala besar dan serangan strategik yang lebih disasarkan.

Kumpulan ini mengendalikan model dwi-landasan, mengimbangi serangan meluas dengan operasi yang lebih canggih yang direka untuk akses sistem jangka panjang dan penyusupan rangkaian yang lebih mendalam.

Ketepatan Spear-Phishing: Menyasarkan Mangsa Korporat

Selain kempen yang meluas, Silver Fox menjalankan serangan spear-phishing yang disasarkan kepada industri tertentu, terutamanya pengeluar Jepun. Serangan ini menggunakan daya tarikan yang sangat meyakinkan berkaitan dengan pematuhan cukai, pelarasan gaji, perubahan pekerjaan dan pelan pemilikan saham pekerja.

Setelah digunakan, ValleyRAT membolehkan penyerang untuk:

  • Dapatkan kawalan jauh penuh sistem yang dijangkiti
  • Tuai data sensitif dan kewangan
  • Pantau aktiviti pengguna dalam masa nyata
  • Kekalkan kegigihan dalam rangkaian

Tahap akses ini membolehkan pelaku ancaman meningkatkan serangan, mengeluarkan maklumat sulit dan bersedia untuk peringkat eksploitasi selanjutnya dalam persekitaran yang terjejas.

Trending

Paling banyak dilihat

Memuatkan...