Кампања против злонамерног софтвера Silver Fox ValleyRAT
Претећи актер који послује под именом Силвер Фокс покренуо је сложену операцију под лажном заставом, осмишљену да прикрије своју активност као активност руске групе. Кампања се фокусира на кориснике који говоре кинески, укључујући запослене у западним организацијама које послују у Кини, и у великој мери се ослања на манипулацију претраживачима и лажне инсталатере за Мајкрософт тимс како би испоручио добро познатог тројанца за удаљени приступ.
Преглед садржаја
Маскиран као руски глумац
Недавне активности компаније Силвер Фокс врте се око стратешког покушаја да се аналитичари заварају имитирањем руских претњи. Да би појачали ову илузију, нападачи уграђују ћириличне елементе у модификоване компоненте ValleyRAT-а, па чак и пакују злонамерне датотеке са руским стилом конвенција именовања. Ово намерно погрешно усмеравање компликује атрибуцију, а истовремено омогућава групи да тежи финансијски и геополитички мотивисаним циљевима.
Тровање SEO-ом и мамци на тему Teams-а
Од новембра 2025. године, Silver Fox води кампању тровања оптимизацијом за претраживаче (SEO) прилагођену да привуче жртве које траже Microsoft Teams. За разлику од претходних операција које су злоупотребљавале алате као што су Chrome, Telegram, WPS Office и DeepSeek, овај талас се фокусира искључиво на Teams.
Компромитовани резултати претраге усмеравају кориснике на лажну веб страницу која се представља као легитимна страница за преузимање Teams-а. Уместо оригиналног софтвера, жртве добијају ZIP архиву под називом „MSTчаmsSetup.zip“ која се налази на Alibaba Cloud-у. Ћирилични знакови у називу датотеке појачавају наратив о лажној застави.
Тројанизовани инсталатер и прикривено имплементирање
Унутар ZIP датотеке налази се Setup.exe, модификовани Teams инсталатер дизајниран да покрене вишестепену компромитацију. Након извршавања, он врши провере окружења, скенира бинарне датотеке повезане са одређеним безбедносним алатом и мења подешавања Microsoft Defender-а додавањем правила изузећа. Такође, убацује манипулисани Microsoft инсталатер - „Verifier.exe“ у директоријум AppData\Local корисника и покреће га како би одржао ток инфекције.
Злонамерни софтвер наставља генерисањем неколико помоћних датотека у локацијама AppData\Local и AppData\Roaming. Затим учитава конфигурационе податке из ових датотека и убризгава злонамерни DLL у rundll32.exe, поуздану компоненту Windows-а, омогућавајући злонамерном софтверу да се беспрекорно уклопи са легитимним процесима.
Активација ValleyRAT-а (Winos 4.0)
Завршна фаза резултира распоређивањем ValleyRAT-а, деривата Gh0st RAT-а. Када се активира, омогућава даљинско извршавање команди, стални надзор, крађу података и потпуну контролу система. Иако се варијанте Gh0st RAT-а обично приписују кинеским сајбер криминалним групама, укључивање руских елемената од стране Silver Fox-а покушава да преусмери кривицу.
Крајњи циљеви и утицај
Операције Силвер Фокса служе и финансијским и обавештајним сврхама. Група тежи профиту кроз преваре, обмане и крађу, а истовремено прикупља осетљиве информације које могу пружити геополитичку предност. Жртве се суочавају са тренутним последицама:
- Крађа података и откривање поверљивих информација.
- Финансијски губици од преваре или неовлашћених активности.
- Дугорочно угрожавање интерних система и мрежа.
Зашто је ова лажна застава важна
Имитирајући страну претњу, Силвер Фокс одржава уверљиву могућност порицања и делује без контроле која је обично усмерена ка државно спонзорисаним ентитетима. Ова софистицирана стратегија избегавања, у комбинацији са ланцем инфекције који се развија, наглашава потребу за повећаном будношћу, јачаном одбраном крајњих тачака и континуираним праћењем, посебно за организације које послују у регионима који су често мета сложених сајбер претњи.
