Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema AtlasCross PODGANA

AtlasCross PODGANA

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Orodja za oddaljeno upravljanje
Prevedi v:

Obsežna kampanja kibernetskih napadov aktivno cilja na kitajsko govoreče uporabnike prek domen z napačnimi kodami, ki posnemajo zaupanja vredne blagovne znamke programske opreme. Ta zavajajoča spletna mesta so zasnovana za distribucijo prej nedokumentiranega trojanskega konja za oddaljeni dostop, znanega kot AtlasCross RAT. Kampanja izkorišča zaupanje uporabnikov v široko uporabljene aplikacije, vključno z odjemalci VPN, platformami za šifrirano sporočanje, orodji za videokonference, sledilniki kriptovalut in programsko opremo za e-trgovino.

Infrastruktura vključuje enajst potrjenih zlonamernih domen, ki se izdajajo za znane storitve, kot so Surfshark VPN, Signal, Telegram, Zoom in Microsoft Teams. To strateško izdajanje poveča verjetnost uspešnih okužb z izkoriščanjem poznanosti blagovne znamke.

Profil igralca, ki ogroža: The Silver Fox Collective

Kampanja je bila pripisana plodni kitajski skupini za kibernetski kriminal, znani kot Silver Fox. Ta skupina deluje pod več vzdevki, vključno s SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000 in Void Arachne. Varnostni raziskovalci menijo, da je ta skupina ena najbolj aktivnih kibernetskih groženj v zadnjih letih, zlasti zaradi njenega nenehnega ciljanja na vodstveno in finančno osebje v organizacijah.

Silver Fox uporablja različne vektorje okužb, kot so platforme za sporočanje, lažna e-poštna sporočila in spletna mesta za distribucijo ponarejene programske opreme. Cilji skupine vključujejo oddaljeni nadzor sistema, krajo občutljivih podatkov in finančne goljufije.

Razvoj zlonamerne programske opreme: od Gh0st RAT do AtlasCross

Pojav AtlasCross RAT pomeni pomemben napredek v naboru orodij za zlonamerno programsko opremo Silver Foxa. Prejšnje operacije so se močno zanašale na različice, ki izhajajo iz Gh0st RAT, vključno z ValleyRAT (znan tudi kot Winos 4.0), Gh0stCringe in HoldingHands RAT (Gh0stBins). AtlasCross predstavlja bolj dovršen razvoj, ki vključuje izboljšane mehanizme prikritosti, izvajanja in vztrajnosti.

Razčlenitev verige okužbe: od vabe do usmrtitve

Veriga napadov se začne z goljufivimi spletnimi mesti, ki uporabnike zavedejo v prenos ZIP arhivov. Ti arhivi vsebujejo namestitvene programe, ki nameščajo tako legitimno aplikacijo za vabo kot tudi trojansko binarno datoteko Autodesk. Zlonamerni namestitveni program zažene nalagalnik shellcode, ki dešifrira vdelano konfiguracijo, izpeljano iz Gh0st RAT.

Ta postopek izvleče podrobnosti sistema Command-and-Control (C2) in pridobi koristni tovor druge stopnje iz domene 'bifa668.com' prek vrat TCP 9899. Zadnja faza povzroči izvajanje AtlasCross RAT v pomnilniku, kar znatno zmanjša zaznavanje s tradicionalnimi varnostnimi orodji.

Zlonamerna infrastruktura: oborožene domene

Kampanja prikazuje usklajeno postavitev infrastrukture, pri čemer je bila večina zlonamernih domen registriranih 27. oktobra 2025, kar kaže na namerno načrtovanje. Potrjene domene, ki se uporabljajo za dostavo zlonamerne programske opreme, vključujejo:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Te domene zelo posnemajo legitimne storitve in pogosto vključujejo subtilne tipografske različice ali regionalne identifikatorje, da bi se izognili sumu.

Zloraba zaupanja: Ukradena potrdila za podpisovanje kode

Vsi identificirani zlonamerni namestitveni programi so podpisani z istim ukradenim potrdilom za podpisovanje kode z razširjenim preverjanjem veljavnosti (EV), izdanim podjetju DUC FABULOUS CO., LTD, s sedežem v Hanoju v Vietnamu. Ponovna uporaba tega potrdila v več nepovezanih kampanjah zlonamerne programske opreme kaže na široko razširjeno kroženje znotraj ekosistema kibernetskega kriminala. Ta taktika povečuje zaznano legitimnost zlonamernih binarnih datotek in pomaga zaobiti varnostne obrambe.

Napredne zmogljivosti: V notranjosti AtlasCross RAT

AtlasCross RAT predstavlja zmogljiv nabor zmogljivosti, zasnovanih za prikritost, vztrajnost in nadzor. Integrira ogrodje PowerChell, izvorni izvajalni mehanizem C/C++ PowerShell, ki v proces zlonamerne programske opreme vgrajuje .NET Common Language Runtime (CLR).

Pred izvajanjem ukazov zlonamerna programska oprema onemogoči ključne varnostne mehanizme, kot so AMSI, ETW, način omejenega jezika in beleženje ScriptBlock. Komunikacija s strežniki za upravljanje in nadzor je šifrirana z uporabo ChaCha20 z naključnimi ključi za vsak paket, ki se generirajo z generiranjem naključnih števil na osnovi strojne opreme.

Ključne funkcionalnosti vključujejo:

  • Ciljno vbrizgavanje DLL v WeChat
  • Ugrabitev seje protokola oddaljenega namizja (RDP)
  • Prekinitev povezav na ravni TCP s strani kitajskih varnostnih orodij, kot so 360 Safe, Huorong, Kingsoft in QQ PC Manager
  • Manipulacija datotečnega sistema in izvajanje ukazov lupine
  • Vztrajnost z ustvarjanjem načrtovanih opravil

Operativna strategija: Prevara v velikem obsegu

Silver Fox uporablja večplastno strategijo domen za ohranjanje verodostojnosti in izogibanje odkrivanju. To vključuje tipografske napake, ugrabitev domen in manipulacijo DNS, pogosto v kombinaciji z regionalno specifičnimi konvencijami poimenovanja za zmanjšanje suma uporabnikov. Sposobnost skupine, da prepričljivo posnema legitimne storitve, igra ključno vlogo pri učinkovitosti kampanje.

Širjenje vektorjev napadov po Aziji

Skupina je vsaj od decembra 2025 razširila svoje delovanje v več držav, vključno z Japonsko, Malezijo, Filipini, Tajsko, Indonezijo, Singapurjem in Indijo. Metode napadov so se sčasoma razvijale, od lažnih e-poštnih sporočil z zlonamernimi prilogami PDF do zlorabe legitimnih, a napačno konfiguriranih orodij za oddaljeno spremljanje in upravljanje, kot je SyncFuture TSM.

Nadaljnje kampanje so uporabile tudi program za krajo informacij, ki temelji na Pythonu in je bil prikrit kot aplikacija WhatsApp. Prejšnja aktivnost januarja 2026 je vključevala vabe na temo davkov, ki so z zlonamerno programsko opremo Blackmoon ciljale na indijske uporabnike.

Prilagodljiv arzenal: Prilagodljive operacije kibernetske kriminalitete

Silver Fox dokazuje visoko stopnjo operativne prilagodljivosti z združevanjem več družin in tehnik zlonamerne programske opreme. Uporaba ValleyRAT skupaj z orodji RMM in prilagojenimi programi za krajo programske opreme, ki temeljijo na Pythonu, omogoča hitro prilagajanje verig okužb. Ta vsestranskost podpira tako obsežne oportunistične kampanje kot bolj ciljno usmerjene, strateške napade.

Skupina deluje po dvotirnem modelu, pri čemer uravnava široko razširjene napade z bolj sofisticiranimi operacijami, namenjenimi dolgoročnemu dostopu do sistema in globlji infiltraciji omrežja.

Natančnost lažnega predstavljanja: ciljanje na korporativne žrtve

Poleg širokih kampanj Silver Fox izvaja tudi ciljno usmerjene napade z lažnim predstavljanjem, namenjene določenim panogam, zlasti japonskim proizvajalcem. Ti napadi uporabljajo zelo prepričljive vabe, povezane z davčno skladnostjo, prilagoditvami plač, spremembami delovnih mest in načrti lastništva delnic zaposlenih.

Ko je ValleyRAT enkrat nameščen, napadalcem omogoča:

  • Pridobite popoln oddaljeni nadzor nad okuženimi sistemi
  • Zbiranje občutljivih in finančnih podatkov
  • Spremljajte aktivnost uporabnikov v realnem času
  • Ohranite vztrajnost znotraj omrežja

Ta raven dostopa omogoča akterjem groženj, da stopnjevajo napade, izvlečejo zaupne informacije in se pripravijo na nadaljnje faze izkoriščanja v ogroženih okoljih.

V trendu

Najbolj gledan

Nalaganje...