Silver Fox APT

साइबर सुरक्षा विज्ञहरूले ताइवानका प्रयोगकर्ताहरूलाई लक्षित गर्दै एक उन्नत र विकसित फिसिङ अभियानको पर्दाफास गरेका छन्। सिल्भर फक्स एपीटी भनेर चिनिने खतरा समूहद्वारा व्यवस्थित, यो अपरेशनले कुख्यात Gh0st RAT का दुबै प्रकारहरू, होल्डिंगह्यान्ड्स RAT र Gh0stCringe सहित खतरनाक रिमोट एक्सेस ट्रोजन (RATs) को श्रृंखला डेलिभर गर्न मालवेयर-लेस्ड कागजातहरू र भ्रामक इमेलहरू प्रयोग गर्दछ।

परिचित अनुहारको साथ फिसिङ: सरकारी अधिकारीहरूको प्रतिरूपण

यो आक्रमण ताइवानको राष्ट्रिय कर ब्यूरो जस्ता आधिकारिक संस्थाहरूको नक्कल गर्ने फिशिङ इमेलहरूबाट सुरु हुन्छ। यी इमेलहरूमा प्रायः कर, बीजक, वा पेन्सनसँग सम्बन्धित विषयवस्तुहरू समावेश हुन्छन् जसले प्राप्तकर्ताहरूको विश्वासको शोषण गर्दछ र तिनीहरूलाई संलग्न फाइलहरू खोल्न प्रेरित गर्दछ। केही भिन्नताहरूमा, इम्बेडेड छविहरूले क्लिक गर्दा मालवेयर डाउनलोडहरूको लागि ट्रिगरको रूपमा काम गर्दछ, जसले परम्परागत कागजात-आधारित आकर्षणहरूबाट परिवर्तनलाई प्रतिनिधित्व गर्दछ।

हतियारयुक्त कागजातहरू: मालवेयर डेलिभरी सवारी साधनको रूपमा PDF र ZIP हरू

प्राथमिक डेलिभरी संयन्त्रहरू दुर्भावनापूर्ण PDF कागजातहरू वा फिसिङ इमेलहरूमा संलग्न ZIP अभिलेखहरू हुन्। यी फाइलहरूमा प्रयोगकर्ताहरूलाई निम्नले भरिएका ZIP फाइलहरू होस्ट गर्ने पृष्ठहरू डाउनलोड गर्न रिडिरेक्ट गर्ने लिङ्कहरू छन्:

• वैध देखिने कार्यान्वयनयोग्यहरू
• शेलकोड लोडरहरू
• इन्क्रिप्ट गरिएको शेलकोड

कार्यान्वयन गर्दा, यी कम्पोनेन्टहरूले अलार्म नबनाई मालवेयर तैनाथ गर्न मिलेर काम गर्छन्।

बहु-चरण संक्रमण श्रृंखला: तहहरूमा छल

संक्रमण धेरै जटिल चरणहरूमा फैलिन्छ:

शेलकोड लोडर सक्रियता : शेलकोड लोडरले एम्बेडेड शेलकोड डिक्रिप्ट र सुरु गर्छ।

DLL साइड-लोडिङ : मालवेयरलाई स्पष्ट रूपमा लुकाएर, दुर्भावनापूर्ण DLL फाइलहरूलाई साइडलोड गर्न वैध बाइनरीहरूको दुरुपयोग गरिन्छ।

एन्टी-भीएम र प्रिभिलेज एस्केलेसन : यी प्रविधिहरूले स्यान्डबक्स गरिएको वातावरणमा मालवेयर पत्ता लगाउनबाट बच्ने र उच्च प्रणाली विशेषाधिकारहरू सुरक्षित गर्ने कुरा सुनिश्चित गर्दछ।

पेलोड र उद्देश्य: जासुसी र नियन्त्रण

अन्तिम पेलोडमा 'msgDb.dat' नामक फाइल समावेश छ, जुन प्राथमिक कमाण्ड-एण्ड-कन्ट्रोल (C2) मोड्युलको रूपमा काम गर्दछ। एकपटक सक्रिय भएपछि, यो:

• संवेदनशील प्रयोगकर्ता जानकारी सङ्कलन गर्छ
• थप कम्पोनेन्टहरू डाउनलोड गर्छ
• रिमोट डेस्कटप नियन्त्रण सक्षम पार्छ
• संक्रमित प्रणालीमा फाइलहरू व्यवस्थापन गर्दछ

यी क्षमताहरूले सम्झौता गरिएका मेसिनहरूमा दीर्घकालीन पहुँच र निगरानी कायम राख्ने उद्देश्यलाई सुझाव दिन्छ।

विकसित रणनीति: सिल्भर फक्स एपीटी द्वारा निरन्तर नवीनता

सिल्भर फक्स एपीटीले आफ्नो उपकरणसेट र आक्रमण प्रविधिहरूलाई निरन्तर परिष्कृत गर्दछ, जसको प्रयोगबाट देखिन्छ:

• विनोस ४.० फ्रेमवर्क
• HTM डाउनलोड पृष्ठहरू मार्फत Gh0stCringe प्रसार
• होल्डिङह्यान्ड्स RAT (Gh0stBins को रूपमा पनि चिनिन्छ)

जटिल शेलकोड, स्तरित लोडरहरू, र फरक डेलिभरी भेक्टरहरूमा समूहको निर्भरताले पत्ता लगाउनबाट बच्न र घुसपैठ सफलतालाई अधिकतम बनाउन निरन्तर प्रयास गरेको देखाउँछ।

निष्कर्ष: परिष्कृत धम्की दिने अभिनेताहरू विरुद्ध सतर्कता महत्वपूर्ण छ

यो अभियानले सिल्भर फक्स जस्ता APT समूहहरूको बढ्दो परिष्कारलाई प्रकाश पार्छ। विश्वसनीय विषयवस्तुहरू, भ्रामक फाइल ढाँचाहरू, र लुकेका कार्यान्वयन प्रविधिहरूको फाइदा उठाएर, यी अभिनेताहरूले लक्षित संस्थाहरूलाई गम्भीर खतरा प्रस्तुत गर्छन्। निरन्तर अनुगमन, समयमै प्याचिङ, र बलियो इमेल सुरक्षा यस्ता विकसित खतराहरू विरुद्ध महत्वपूर्ण सुरक्षा हुन्।