Скидка на мультилицензию
База данных угроз Расширенная постоянная угроза (APT) Silver Fox APT

Silver Fox APT

К Mezo году в Расширенная постоянная угроза (APT), Вредоносное ПО, Фишинг, Инструменты удаленного администрирования году
Перевести на:

Эксперты по кибербезопасности раскрыли сложную и развивающуюся фишинговую кампанию, нацеленную в первую очередь на пользователей Тайваня. Организованная группой угроз, идентифицированной как Silver Fox APT, эта операция использует вредоносные документы и обманные электронные письма для доставки серии опасных троянов удаленного доступа (RAT), включая HoldingHands RAT и Gh0stCringe, оба варианта печально известного Gh0st RAT .

Фишинг со знакомым лицом: выдача себя за государственные органы

Атака начинается с фишинговых писем, выдаваемых за официальные организации, такие как Национальное налоговое бюро Тайваня. Эти письма часто включают темы, связанные с налогами, счетами или пенсиями, чтобы эксплуатировать доверие получателей и побуждать их открывать прикрепленные файлы. В некоторых вариантах встроенные изображения служат триггерами для загрузки вредоносных программ при нажатии, что представляет собой отход от традиционных приманок на основе документов.

Документы, превращенные в оружие: PDF-файлы и ZIP-файлы как средства доставки вредоносного ПО

Основными механизмами доставки являются вредоносные PDF-документы или ZIP-архивы, прикрепленные к фишинговым письмам. Эти файлы содержат ссылки, перенаправляющие пользователей на страницы загрузки, на которых размещены ZIP-файлы, упакованные:

  • Законно выглядящие исполняемые файлы
  • Загрузчики шеллкода
  • Зашифрованный шеллкод

При запуске эти компоненты работают в тандеме, внедряя вредоносное ПО, не вызывая тревог.

Многоступенчатая цепочка заражения: обман на уровнях

Инфекция развивается в несколько сложных стадий:

Активация загрузчика шеллкода : загрузчик шеллкода расшифровывает и инициирует встроенный шеллкод.

Сторонняя загрузка DLL : легитимные двоичные файлы используются для сторонней загрузки вредоносных DLL-файлов, скрывая вредоносное ПО на виду.

Защита от виртуальных машин и повышение привилегий : эти методы гарантируют, что вредоносное ПО избежит обнаружения в изолированных средах и обеспечит повышенные системные привилегии.

Полезная нагрузка и цель: шпионаж и контроль

Окончательная полезная нагрузка включает файл с именем 'msgDb.dat,' который действует как основной модуль Command-and-Control (C2). После активации он:

  • Собирает конфиденциальную информацию пользователей
  • Загружает дополнительные компоненты
  • Позволяет управлять удаленным рабочим столом
  • Управляет файлами в зараженной системе

Эти возможности предполагают намерение поддерживать долгосрочный доступ и наблюдение за скомпрометированными машинами.

Эволюционирующие тактики: последовательные инновации от Silver Fox APT

Silver Fox APT постоянно совершенствует свой набор инструментов и методы атак, о чем свидетельствует использование:

  • Фреймворк Winos 4.0
  • Распространение Gh0stCringe через страницы загрузки HTM
  • HoldingHands RAT (также известный как Gh0stBins)

Использование группой сложного шелл-кода, многоуровневых загрузчиков и различных векторов доставки свидетельствует о постоянных попытках избежать обнаружения и максимально увеличить успешность проникновения.

Заключение: бдительность является ключевым фактором против изощренных злоумышленников

Эта кампания подчеркивает растущую изощренность групп APT, таких как Silver Fox. Используя проверенные темы, обманчивые форматы файлов и скрытые методы выполнения, эти субъекты представляют серьезную угрозу для целевых организаций. Постоянный мониторинг, своевременное исправление и надежная защита электронной почты являются критически важными мерами защиты от таких развивающихся угроз.

В тренде

Наиболее просматриваемые

Загрузка...