แคมเปญมัลแวร์ Silver Fox ValleyRAT
ผู้ก่อภัยคุกคามภายใต้ชื่อ Silver Fox ได้เปิดปฏิบัติการปลอมแปลงที่ซับซ้อนเพื่ออำพรางกิจกรรมของตนให้ดูเหมือนกลุ่มชาวรัสเซีย แคมเปญนี้มุ่งเน้นไปที่ผู้ใช้ที่พูดภาษาจีน รวมถึงพนักงานขององค์กรตะวันตกที่มีสำนักงานอยู่ในจีน และอาศัยการจัดการเครื่องมือค้นหาและโปรแกรมติดตั้ง Microsoft Teams ปลอมแปลงอย่างมากเพื่อส่งโทรจันการเข้าถึงระยะไกลที่เป็นที่รู้จัก
สารบัญ
ปลอมตัวเป็นนักแสดงชาวรัสเซีย
กิจกรรมล่าสุดของ Silver Fox เกี่ยวข้องกับความพยายามเชิงกลยุทธ์เพื่อหลอกลวงนักวิเคราะห์ด้วยการเลียนแบบกลุ่มภัยคุกคามจากรัสเซีย เพื่อตอกย้ำภาพลวงตานี้ ผู้โจมตีได้ฝังองค์ประกอบซีริลลิกลงในส่วนประกอบ ValleyRAT ที่ถูกดัดแปลง และอาจรวมไฟล์อันตรายด้วยรูปแบบการตั้งชื่อแบบรัสเซีย การจงใจบิดเบือนข้อมูลนี้ทำให้การระบุแหล่งที่มามีความซับซ้อนมากขึ้น ขณะเดียวกันก็เปิดโอกาสให้กลุ่มสามารถบรรลุเป้าหมายที่มีแรงจูงใจทางการเงินและภูมิรัฐศาสตร์ได้
การวางยาพิษ SEO และเหยื่อล่อตามธีมทีม
ตั้งแต่เดือนพฤศจิกายน 2568 เป็นต้นมา Silver Fox ได้ดำเนินแคมเปญโจมตีด้วยการปรับแต่งเว็บไซต์ให้ติดอันดับบนเครื่องมือค้นหา (SEO) เพื่อหลอกล่อเหยื่อที่กำลังค้นหา Microsoft Teams ซึ่งแตกต่างจากปฏิบัติการก่อนหน้านี้ที่ใช้เครื่องมืออย่าง Chrome, Telegram, WPS Office และ DeepSeek ในทางที่ผิด แคมเปญนี้มุ่งเน้นไปที่ Teams เพียงอย่างเดียว
ผลการค้นหาที่ถูกบุกรุกจะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่แอบอ้างเป็นหน้าดาวน์โหลด Teams ที่ถูกต้องตามกฎหมาย แทนที่จะเป็นซอฟต์แวร์ของแท้ เหยื่อจะได้รับไฟล์ ZIP ชื่อ 'MSTчamsSetup.zip' ซึ่งโฮสต์อยู่บน Alibaba Cloud อักขระซีริลลิกในชื่อไฟล์ยิ่งตอกย้ำเรื่องราวการปลอมแปลง
โปรแกรมติดตั้งแบบโทรจันและการปรับใช้แบบซ่อนเร้น
ภายในไฟล์ ZIP มีไฟล์ Setup.exe ซึ่งเป็นโปรแกรมติดตั้ง Teams ที่ถูกปรับแต่ง ซึ่งออกแบบมาเพื่อเริ่มต้นการโจมตีแบบหลายขั้นตอน เมื่อดำเนินการ โปรแกรมจะทำการตรวจสอบสภาพแวดล้อม สแกนหาไฟล์ไบนารีที่เกี่ยวข้องกับเครื่องมือรักษาความปลอดภัยเฉพาะ และแก้ไขการตั้งค่า Microsoft Defender โดยการเพิ่มกฎการยกเว้น นอกจากนี้ยังวางโปรแกรมติดตั้ง Microsoft ที่ถูกปรับแต่งชื่อ 'Verifier.exe' ลงในไดเร็กทอรี AppData\Local ของผู้ใช้ และเปิดใช้งานเพื่อรักษากระบวนการติดเชื้อ
มัลแวร์ยังคงทำงานต่อไปโดยสร้างไฟล์เสริมหลายไฟล์ใน AppData\Local และ AppData\Roaming จากนั้นมันจะโหลดข้อมูลการกำหนดค่าจากไฟล์เหล่านี้และแทรก DLL ที่เป็นอันตรายเข้าไปใน rundll32.exe ซึ่งเป็นส่วนประกอบที่เชื่อถือได้ของ Windows ทำให้มัลแวร์สามารถทำงานร่วมกับกระบวนการที่ถูกต้องตามกฎหมายได้อย่างราบรื่น
การเปิดใช้งาน ValleyRAT (Winos 4.0)
ขั้นตอนสุดท้ายคือการติดตั้ง ValleyRAT ซึ่งเป็นรุ่นที่พัฒนามาจาก Gh0st RAT เมื่อเปิดใช้งานแล้ว ValleyRAT จะสามารถสั่งการจากระยะไกล เฝ้าระวังอย่างต่อเนื่อง ขโมยข้อมูล และควบคุมระบบได้อย่างสมบูรณ์ แม้ว่า Gh0st RAT สายพันธุ์ต่างๆ มักถูกมองว่าเป็นกลุ่มอาชญากรไซเบอร์ชาวจีน แต่การที่ Silver Fox แทรกซึมองค์ประกอบของรัสเซียเข้าไปก็เพื่อพยายามเบี่ยงเบนความผิด
เป้าหมายสุดท้ายและผลกระทบ
การดำเนินงานของซิลเวอร์ฟ็อกซ์มีวัตถุประสงค์เพื่อทั้งทางการเงินและการรวบรวมข่าวกรอง กลุ่มนี้แสวงหาผลกำไรผ่านการฉ้อโกง การหลอกลวง และการโจรกรรม ขณะเดียวกันก็รวบรวมข้อมูลสำคัญที่อาจนำมาใช้ประโยชน์ทางภูมิรัฐศาสตร์ เหยื่อจะต้องเผชิญกับผลกระทบทันที:
- การโจรกรรมข้อมูลและการเปิดเผยข้อมูลที่เป็นความลับ
- การสูญเสียทางการเงินจากการฉ้อโกงหรือกิจกรรมที่ไม่ได้รับอนุญาต
- การประนีประนอมระบบภายในและเครือข่ายในระยะยาว
เหตุใดธงปลอมนี้จึงสำคัญ
ด้วยการเลียนแบบกลุ่มภัยคุกคามจากต่างประเทศ Silver Fox จึงสามารถปฏิเสธได้อย่างน่าเชื่อถือ และดำเนินงานโดยปราศจากการตรวจสอบที่มักมุ่งเป้าไปที่หน่วยงานที่รัฐให้การสนับสนุน กลยุทธ์การหลบเลี่ยงที่ซับซ้อนนี้ ประกอบกับห่วงโซ่การติดเชื้อที่พัฒนาอย่างต่อเนื่อง ตอกย้ำถึงความจำเป็นในการเฝ้าระวังที่เข้มงวดยิ่งขึ้น การป้องกันปลายทางที่แข็งแกร่งขึ้น และการตรวจสอบอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งสำหรับองค์กรที่ดำเนินงานในภูมิภาคที่มักตกเป็นเป้าหมายของภัยคุกคามทางไซเบอร์ที่ซับซ้อน
