Kampanja zlonamerne programske opreme Silver Fox ValleyRAT
Grožnjec, ki deluje pod imenom Silver Fox, je sprožil dovršeno operacijo pod lažno zastavo, s katero želi prikriti svojo dejavnost kot dejavnost ruske skupine. Kampanja se osredotoča na kitajsko govoreče uporabnike, vključno z zaposlenimi v zahodnih organizacijah, ki so prisotne na Kitajskem, in se za dostavo znanega trojanskega konja za oddaljeni dostop močno zanaša na manipulacijo iskalnikov in ponarejene namestitvene programe za Microsoft Teams.
Kazalo
Prikrit kot ruski igralec
Nedavne dejavnosti Silver Foxa se vrtijo okoli strateškega poskusa zavajanja analitikov s posnemanjem ruskih groženj. Da bi okrepili to iluzijo, napadalci vdelajo cirilične elemente v spremenjene komponente ValleyRAT in celo pakirajo zlonamerne datoteke z ruskimi pravili poimenovanja. To namerno zavajanje otežuje pripisovanje, hkrati pa skupini omogoča uresničevanje finančno in geopolitično motiviranih ciljev.
Zastrupljanje z SEO in vabe na temo Teams
Silver Fox od novembra 2025 izvaja kampanjo zastrupljanja optimizacije iskalnikov (SEO), ki je namenjena privabljanju žrtev, ki iščejo Microsoft Teams. Za razliko od prejšnjih operacij, ki so zlorabljale orodja, kot so Chrome, Telegram, WPS Office in DeepSeek, se ta val osredotoča izključno na Teams.
Ogroženi rezultati iskanja uporabnike usmerijo na goljufivo spletno mesto, ki se izdaja za legitimno stran za prenos aplikacije Teams. Namesto originalne programske opreme žrtve prejmejo arhiv ZIP z imenom »MSTчamsSetup.zip«, ki gostuje v storitvi Alibaba Cloud. Cirilica v imenu datoteke krepi narativ lažne zastave.
Namestitveni program, okužen s trojanci, in prikrita namestitev
V datoteki ZIP se nahaja Setup.exe, spremenjen namestitveni program za Teams, zasnovan za sprožitev večstopenjskega vdora. Ob zagonu izvaja preverjanja okolja, išče binarne datoteke, povezane z določenim varnostnim orodjem, in spreminja nastavitve programa Microsoft Defender z dodajanjem pravil za izključitev. Prav tako spusti spremenjen namestitveni program Microsoft – »Verifier.exe« – v uporabnikov imenik AppData\Local in ga zažene, da ohrani tok okužbe.
Zlonamerna programska oprema nadaljuje z ustvarjanjem več pomožnih datotek v imenikih AppData\Local in AppData\Roaming. Nato iz teh datotek naloži konfiguracijske podatke in v datoteko rundll32.exe, zaupanja vredno komponento sistema Windows, vbrizga zlonamerno datoteko DLL, kar omogoča, da se zlonamerna programska oprema neopazno zlije z legitimnimi procesi.
Aktivacija ValleyRAT-a (Winos 4.0)
V zadnji fazi se uporabi ValleyRAT, izpeljanka Gh0st RAT. Ko je aktiven, omogoča oddaljeno izvajanje ukazov, stalen nadzor, krajo podatkov in popoln nadzor nad sistemom. Čeprav različice Gh0st RAT pogosto pripisujejo kitajskim kibernetskim kriminalnim skupinam, Silver Fox z vključitvijo ruskih elementov poskuša preusmeriti krivdo.
Končni cilji in vpliv
Poslovanje skupine Silver Fox služi tako finančnim namenom kot tudi zbiranju obveščevalnih podatkov. Skupina si prizadeva za dobiček z goljufijami, prevarami in krajo, hkrati pa zbira občutljive informacije, ki lahko zagotovijo geopolitični vpliv. Žrtve se soočajo s takojšnjimi posledicami:
- Kraja podatkov in razkritje zaupnih informacij.
- Finančne izgube zaradi goljufije ali nepooblaščene dejavnosti.
- Dolgoročna ogrožitev notranjih sistemov in omrežij.
Zakaj je ta lažna zastava pomembna
Z oponašanjem tuje skupine za grožnje Silver Fox ohranja verodostojno zanikanje in deluje brez nadzora, ki je običajno namenjen subjektom, ki jih sponzorira država. Ta sofisticirana strategija izogibanja v kombinaciji z razvijajočo se verigo okužb poudarja potrebo po večji budnosti, okrepljeni obrambi končnih točk in nenehnem spremljanju, zlasti za organizacije, ki delujejo v regijah, ki so pogosto tarča kompleksnih kibernetskih groženj.
