Silver Fox APT
Eksperci ds. cyberbezpieczeństwa odkryli zaawansowaną i rozwijającą się kampanię phishingową, której celem byli przede wszystkim użytkownicy na Tajwanie. Operacja ta, zorganizowana przez grupę zagrożeń zidentyfikowaną jako Silver Fox APT, wykorzystuje dokumenty zawierające złośliwe oprogramowanie i zwodnicze wiadomości e-mail, aby dostarczać serię niebezpiecznych trojanów zdalnego dostępu (RAT), w tym HoldingHands RAT i Gh0stCringe, obie odmiany niesławnego Gh0st RAT .
Spis treści
Phishing ze znaną twarzą: podszywanie się pod organy rządowe
Atak rozpoczyna się od wiadomości e-mail phishingowych podszywających się pod oficjalne podmioty, takie jak Narodowe Biuro Podatkowe Tajwanu. Te wiadomości e-mail często zawierają tematy związane z podatkami, fakturami lub emeryturami, aby wykorzystać zaufanie odbiorców i zachęcić ich do otwarcia załączonych plików. W niektórych wariantach osadzone obrazy służą jako wyzwalacze pobierania złośliwego oprogramowania po kliknięciu, co stanowi odejście od tradycyjnych przynęt opartych na dokumentach.
Dokumenty jako broń: pliki PDF i ZIP jako nośniki złośliwego oprogramowania
Podstawowymi mechanizmami dostarczania są złośliwe dokumenty PDF lub archiwa ZIP dołączone do wiadomości e-mail phishingowych. Pliki te zawierają linki przekierowujące użytkowników do stron pobierania hostujących pliki ZIP spakowane za pomocą:
- Pliki wykonywalne wyglądające na legalne
- Ładowarki kodu powłoki
- Zaszyfrowany kod powłoki
Po uruchomieniu komponenty te działają wspólnie, wdrażając złośliwe oprogramowanie bez wywoływania alarmów.
Wieloetapowy łańcuch infekcji: Oszustwo w warstwach
Zakażenie przebiega w kilku złożonych etapach:
Aktywacja programu ładującego kod powłoki : Program ładujący kod powłoki odszyfrowuje i inicjuje osadzony kod powłoki.
Ładowanie boczne plików DLL : Legalne pliki binarne są wykorzystywane do bocznego ładowania złośliwych plików DLL, ukrywając złośliwe oprogramowanie na widoku.
Ochrona maszyn wirtualnych i eskalacja uprawnień : Techniki te zapewniają, że złośliwe oprogramowanie nie zostanie wykryte w środowiskach sandboxingowych i zabezpieczą podwyższone uprawnienia systemowe.
Ładunek i cel: szpiegostwo i kontrola
Ostateczny ładunek zawiera plik o nazwie „msgDb.dat”, który działa jako główny moduł Command-and-Control (C2). Po aktywacji:
- Gromadzi poufne informacje o użytkowniku
- Pobiera dodatkowe komponenty
- Umożliwia zdalne sterowanie pulpitem
- Zarządza plikami w zainfekowanym systemie
Możliwości te wskazują na zamiar utrzymania długoterminowego dostępu i nadzoru nad zainfekowanymi maszynami.
Evolving Tactics: Stała innowacja według Silver Fox APT
Silver Fox APT nieustannie udoskonala swój zestaw narzędzi i techniki ataków, co widać po wykorzystaniu:
- Struktura Winos 4.0
- Propagacja Gh0stCringe za pośrednictwem stron pobierania HTM
- HoldingHands RAT (znany również jako Gh0stBins)
Poleganie przez grupę na złożonym kodzie powłoki, wielowarstwowych ładowarkach i różnych wektorach dostarczania jest dowodem na ciągłe wysiłki mające na celu uniknięcie wykrycia i zmaksymalizowanie skuteczności infiltracji.
Wnioski: Czujność jest kluczem do walki z wyrafinowanymi aktorami zagrożeń
Ta kampania podkreśla rosnącą wyrafinowanie grup APT, takich jak Silver Fox. Wykorzystując zaufane motywy, zwodnicze formaty plików i techniki ukrytego wykonywania, ci aktorzy stanowią poważne zagrożenie dla organizacji docelowych. Ciągły monitoring, terminowe łatanie i solidne zabezpieczenia poczty e-mail to kluczowe środki obrony przed takimi ewoluującymi zagrożeniami.
