Silver Fox APT

Siber güvenlik uzmanları, öncelikli olarak Tayvan'daki kullanıcıları hedef alan gelişmiş ve gelişen bir kimlik avı kampanyasını ortaya çıkardı. Silver Fox APT olarak tanımlanan bir tehdit grubu tarafından düzenlenen bu operasyon, kötü amaçlı yazılımlarla dolu belgeler ve aldatıcı e-postalar kullanarak bir dizi tehlikeli uzaktan erişim trojanını (RAT) iletmektedir. Bunlara HoldingHands RAT ve Gh0stCringe de dahildir. Bunlar, her ikisi de kötü şöhretli Gh0st RAT'ın varyantlarıdır.

Tanıdık Bir Yüzle Kimlik Avı: Devlet Yetkililerinin Taklidi

Saldırı, Tayvan Ulusal Vergi Bürosu gibi resmi kuruluşları taklit eden kimlik avı e-postalarıyla başlar. Bu e-postalar genellikle alıcıların güvenini suistimal etmek ve onları ekli dosyaları açmaya teşvik etmek için vergiler, faturalar veya emeklilik maaşlarıyla ilgili temalar içerir. Bazı varyasyonlarda, gömülü resimler tıklandığında kötü amaçlı yazılım indirmeleri için tetikleyici görevi görür ve bu da geleneksel belge tabanlı yemlerden bir sapmayı temsil eder.

Silahlandırılmış Belgeler: Kötü Amaçlı Yazılım Dağıtım Araçları Olarak PDF’ler ve ZIP’ler

Birincil teslimat mekanizmaları, kimlik avı e-postalarına eklenen kötü amaçlı PDF belgeleri veya ZIP arşivleridir. Bu dosyalar, kullanıcıları şu içeriklerle paketlenmiş ZIP dosyalarını barındıran indirme sayfalarına yönlendiren bağlantılar içerir:

• Meşru görünümlü yürütülebilir dosyalar
• Shellcode yükleyicileri
• Şifrelenmiş kabuk kodu

Çalıştırıldığında, bu bileşenler alarm vermeden kötü amaçlı yazılımı dağıtmak için birlikte çalışır.

Çok Aşamalı Enfeksiyon Zinciri: Katmanlardaki Aldatmaca

Enfeksiyonun gelişimi çok sayıda karmaşık aşamada gerçekleşir:

Kabuk Kodu Yükleyici Etkinleştirmesi : Kabuk kodu yükleyicisi gömülü kabuk kodunu şifresini çözer ve başlatır.

DLL Yan Yükleme : Meşru ikili dosyalar, kötü amaçlı DLL dosyalarını yan yüklemek için kötüye kullanılır ve kötü amaçlı yazılımlar açıkça görünür şekilde gizlenir.

Anti-VM ve Ayrıcalık Yükseltme : Bu teknikler, kötü amaçlı yazılımın korumalı ortamlarda tespit edilmesini önler ve yükseltilmiş sistem ayrıcalıklarını güvence altına alır.

Yük ve Amaç: Casusluk ve Kontrol

Son yük, birincil Komuta ve Kontrol (C2) modülü olarak işlev gören 'msgDb.dat' adlı bir dosyayı içerir. Etkinleştirildiğinde:

• Hassas kullanıcı bilgilerini toplar
• Ek bileşenleri indirir
• Uzak masaüstü denetimini etkinleştirir
• Enfekte sistemdeki dosyaları yönetir

Bu yetenekler, tehlikeye atılan makinelere uzun vadeli erişim ve gözetim sağlama niyetini ortaya koyuyor.

Gelişen Taktikler: Tutarlı Yenilik Silver Fox APT tarafından

Silver Fox APT, aşağıdaki kullanımlarından da görülebileceği gibi, araç setini ve saldırı tekniklerini sürekli olarak geliştirmektedir:

• Winos 4.0 çerçevesi
• HTM indirme sayfaları aracılığıyla Gh0stCringe yayılımı
• HoldingHands RAT (ayrıca Gh0stBins olarak da bilinir)

Grubun karmaşık kabuk kodlarına, katmanlı yükleyicilere ve farklı dağıtım vektörlerine olan güveni, tespit edilmekten kaçınmak ve sızma başarısını en üst düzeye çıkarmak için sürekli bir çaba gösterdiğini gösteriyor.

Sonuç: Karmaşık Tehdit Aktörlerine Karşı Dikkatli Olmak Anahtardır

Bu kampanya, Silver Fox gibi APT gruplarının artan karmaşıklığını vurgular. Güvenilir temalar, aldatıcı dosya biçimleri ve gizli yürütme tekniklerinden yararlanarak, bu aktörler hedeflenen kuruluşlar için ciddi bir tehdit oluşturur. Sürekli izleme, zamanında yama ve sağlam e-posta güvenliği, bu tür gelişen tehditlere karşı kritik savunmalardır.