Silver Fox APT
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญฟิชชิ่งขั้นสูงที่พัฒนาขึ้น โดยมุ่งเป้าไปที่ผู้ใช้ในไต้หวันเป็นหลัก ปฏิบัติการนี้ซึ่งควบคุมโดยกลุ่มภัยคุกคามที่ระบุว่า Silver Fox APT ใช้เอกสารที่แฝงมัลแวร์และอีเมลหลอกลวงเพื่อส่งโทรจันการเข้าถึงระยะไกลที่เป็นอันตราย (RAT) หลายตัว รวมถึง HoldingHands RAT และ Gh0stCringe ซึ่งทั้งสองสายพันธุ์นี้เป็น Gh0st RAT ที่มีชื่อเสียง
สารบัญ
ฟิชชิ่งด้วยใบหน้าคุ้นเคย: การแอบอ้างเป็นเจ้าหน้าที่ของรัฐ
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิ่งที่แอบอ้างเป็นหน่วยงานของรัฐ เช่น สำนักงานภาษีแห่งชาติของไต้หวัน อีเมลเหล่านี้มักมีเนื้อหาเกี่ยวกับภาษี ใบแจ้งหนี้ หรือเงินบำนาญ เพื่อแสวงหาผลประโยชน์จากความไว้วางใจของผู้รับและกระตุ้นให้เปิดไฟล์ที่แนบมา ในบางรูปแบบ รูปภาพที่ฝังไว้ทำหน้าที่เป็นตัวกระตุ้นให้ดาวน์โหลดมัลแวร์เมื่อคลิก ซึ่งถือเป็นการเปลี่ยนแปลงจากอีเมลหลอกลวงแบบเอกสารทั่วไป
เอกสารที่ถูกใช้เป็นอาวุธ: PDF และ ZIP เป็นช่องทางนำส่งมัลแวร์
กลไกการจัดส่งหลักคือเอกสาร PDF ที่เป็นอันตรายหรือไฟล์ ZIP ที่แนบมากับอีเมลฟิชชิ่ง ไฟล์เหล่านี้มีลิงก์ที่นำผู้ใช้ไปยังหน้าดาวน์โหลดที่โฮสต์ไฟล์ ZIP ที่บรรจุ:
- ไฟล์ปฏิบัติการที่ดูถูกต้องตามกฎหมาย
- ตัวโหลดเชลล์โค้ด
- เชลล์โค้ดที่เข้ารหัส
เมื่อดำเนินการแล้ว ส่วนประกอบเหล่านี้จะทำงานร่วมกันเพื่อปล่อยมัลแวร์โดยไม่ส่งสัญญาณเตือน
ห่วงโซ่การติดเชื้อหลายขั้นตอน: การหลอกลวงเป็นชั้นๆ
การติดเชื้อแพร่กระจายในหลายระยะที่ซับซ้อน:
การเปิดใช้งานตัวโหลด Shellcode : ตัวโหลด shellcode จะถอดรหัสและเริ่มต้น shellcode ที่ฝังไว้
การโหลด DLL จากด้านข้าง : ไฟล์ไบนารีที่ถูกกฎหมายจะถูกนำไปใช้อย่างผิดวิธีเพื่อโหลดไฟล์ DLL ที่เป็นอันตรายจากด้านข้าง โดยซ่อนมัลแวร์ไว้ให้มองเห็นได้ชัดเจน
การต่อต้าน VM และการยกระดับสิทธิ์ : เทคนิคเหล่านี้ทำให้แน่ใจว่ามัลแวร์หลีกเลี่ยงการตรวจจับในสภาพแวดล้อมแซนด์บ็อกซ์ และรักษาสิทธิ์ระบบที่สูงขึ้น
น้ำหนักบรรทุกและวัตถุประสงค์: การจารกรรมและการควบคุม
เพย์โหลดสุดท้ายประกอบด้วยไฟล์ชื่อ 'msgDb.dat' ซึ่งทำหน้าที่เป็นโมดูล Command-and-Control (C2) หลัก เมื่อเปิดใช้งานแล้ว จะ:
- เก็บเกี่ยวข้อมูลผู้ใช้ที่ละเอียดอ่อน
- ดาวน์โหลดส่วนประกอบเพิ่มเติม
- เปิดใช้งานการควบคุมเดสก์ท็อประยะไกล
- จัดการไฟล์บนระบบที่ติดไวรัส
ความสามารถเหล่านี้ชี้ให้เห็นถึงความตั้งใจที่จะรักษาการเข้าถึงและการเฝ้าระวังในระยะยาวบนเครื่องที่ถูกบุกรุก
กลยุทธ์ที่พัฒนาอย่างต่อเนื่อง: นวัตกรรมที่สม่ำเสมอโดย Silver Fox APT
Silver Fox APT ปรับปรุงชุดเครื่องมือและเทคนิคการโจมตีอย่างต่อเนื่อง ดังที่เห็นได้จากการใช้งาน:
- กรอบงาน Winos 4.0
- การแพร่กระจาย Gh0stCringe ผ่านหน้าดาวน์โหลด HTM
- HoldingHands RAT (หรือเรียกอีกอย่างว่า Gh0stBins)
การพึ่งพาของกลุ่มในเชลล์โค้ดที่ซับซ้อน ตัวโหลดแบบหลายชั้น และเวกเตอร์การจัดส่งที่หลากหลาย แสดงให้เห็นถึงความพยายามอย่างต่อเนื่องเพื่อหลีกเลี่ยงการตรวจจับและเพิ่มโอกาสประสบความสำเร็จในการแทรกซึมให้สูงสุด
บทสรุป: การเฝ้าระวังเป็นสิ่งสำคัญในการต่อต้านผู้ก่อภัยคุกคามที่มีความซับซ้อน
แคมเปญนี้เน้นย้ำถึงความซับซ้อนที่เพิ่มมากขึ้นของกลุ่ม APT เช่น Silver Fox โดยใช้ประโยชน์จากธีมที่เชื่อถือได้ รูปแบบไฟล์ที่หลอกลวง และเทคนิคการดำเนินการที่แอบแฝง ผู้กระทำความผิดเหล่านี้จึงกลายเป็นภัยคุกคามร้ายแรงต่อองค์กรที่เป็นเป้าหมาย การตรวจสอบอย่างต่อเนื่อง การแก้ไขที่ทันท่วงที และการรักษาความปลอดภัยอีเมลที่แข็งแกร่งเป็นแนวทางป้องกันที่สำคัญต่อภัยคุกคามที่เปลี่ยนแปลงไปดังกล่าว
