Попуст за више лиценци
Тхреат Датабасе Напредна трајна претња (АПТ) Silver Fox APT

Silver Fox APT

До Mezo. у Напредна трајна претња (АПТ), Малваре, Пецање, Алати за удаљену администрацију
Преведи на:

Стручњаци за сајбер безбедност открили су напредну и еволуирајућу фишинг кампању првенствено усмерену на кориснике на Тајвану. Оркестрирана од стране групе претњи идентификоване као Silver Fox APT, ова операција користи документе заражене злонамерним софтвером и обмањујуће имејлове како би испоручила низ опасних тројанаца за удаљени приступ (RAT), укључујући HoldingHands RAT и Gh0stCringe, обе варијанте озлоглашеног Gh0st RAT-а .

Фишинг са познатим лицем: Лажно представљање државних органа

Напад почиње фишинг имејловима који се лажно представљају као званични ентитети попут Националног пореског бироа Тајвана. Ови имејлови често укључују теме везане за порезе, фактуре или пензије како би се искористило поверење прималаца и подстакло их да отворе приложене датотеке. У неким варијацијама, уграђене слике служе као окидачи за преузимање злонамерног софтвера када се на њих кликне, што представља помак од традиционалних мамаца заснованих на документима.

Документи који се користе као оружје: PDF-ови и ZIP-ови као средства за испоруку злонамерног софтвера

Примарни механизми испоруке су злонамерни PDF документи или ZIP архиве приложене фишинг имејловима. Ове датотеке садрже линкове који преусмеравају кориснике на странице за преузимање које садрже ZIP датотеке упаковане са:

  • Извршне датотеке које изгледају легитимно
  • Учитавачи шел кода
  • Шифровани шелкод

Када се изврше, ове компоненте раде заједно како би распоредиле злонамерни софтвер без подизања аларма.

Вишестепени ланац инфекције: обмана у слојевима

Инфекција се одвија у неколико сложених фаза:

Активација програма за учитавање шел кода : Програм за учитавање шел кода дешифрује и покреће уграђени шел код.

Бочно учитавање DLL датотека : Легитимне бинарне датотеке се злоупотребљавају за бочно учитавање злонамерних DLL датотека, скривајући злонамерни софтвер на видном месту.

Анти-виртуелна машина и ескалација привилегија : Ове технике осигуравају да злонамерни софтвер избегне откривање у заштићеним окружењима и обезбеђује повишене системске привилегије.

Носивост и намена: Шпијунажа и контрола

Коначни корисни терет укључује датотеку под називом „msgDb.dat“, која делује као примарни модул за командовање и контролу (C2). Када је активна, она:

  • Прикупља осетљиве корисничке информације
  • Преузима додатне компоненте
  • Омогућава управљање удаљеном радном површином
  • Управља датотекама на зараженом систему

Ове могућности указују на намеру да се одржи дугорочни приступ и надзор на угроженим машинама.

Еволуција тактика: Доследна иновација од стране Силвер Фокс АПТ-а

Силвер Фокс АПТ континуирано усавршава свој скуп алата и технике напада, што се види у коришћењу:

  • Winos 4.0 фрејмворк
  • Ширење Gh0stCringe -а путем HTM страница за преузимање
  • HoldingHands RAT (такође познат као Gh0stBins)

Ослањање групе на сложени шел код, слојевите учитаваче и различите векторе испоруке показује упорни напор да се избегне откривање и максимизира успех инфилтрације.

Закључак: Будност је кључна против софистицираних претњи

Ова кампања истиче све већу софистицираност APT група попут Силвер Фокса. Коришћењем поузданих тема, обмањујућих формата датотека и прикривених техника извршавања, ови актери представљају озбиљну претњу циљаним организацијама. Континуирано праћење, благовремено ажурирање и робусна безбедност е-поште су кључне одбране од таквих претњи које се стално развијају.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
34,739
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...