Silver Fox APT
Експерти з кібербезпеки виявили просунуту фішингову кампанію, що розвивається та орієнтована переважно на користувачів на Тайвані. Організована групою зловмисників Silver Fox APT, ця операція використовує документи, заражені шкідливим програмним забезпеченням, та оманливі електронні листи для доставки серії небезпечних троянів віддаленого доступу (RAT), включаючи HoldingHands RAT та Gh0stCringe, обидва варіанти сумнозвісного Gh0st RAT .
Зміст
Фішинг зі знайомим обличчям: видавання себе за представника державної влади
Атака починається з фішингових електронних листів, що видають себе за офіційні установи, такі як Національне податкове бюро Тайваню. Ці листи часто містять теми, пов'язані з податками, рахунками-фактурами чи пенсіями, щоб зловживати довірою одержувачів та спонукати їх відкривати вкладені файли. У деяких варіантах вбудовані зображення служать тригерами для завантаження шкідливого програмного забезпечення після натискання, що є відходом від традиційних приманок на основі документів.
Документи, перетворені на зброю: PDF-файли та ZIP-архіви як засоби доставки шкідливого програмного забезпечення
Основними механізмами доставки є шкідливі PDF-документи або ZIP-архіви, додані до фішингових електронних листів. Ці файли містять посилання, що перенаправляють користувачів на сторінки завантаження, що містять ZIP-файли, упаковані з:
- Виконувані файли, що виглядають легітимними
- Завантажувачі шелл-коду
- Зашифрований шелл-код
Під час виконання ці компоненти працюють разом, розгортаючи шкідливе програмне забезпечення без виникнення тривоги.
Багатоетапний ланцюг зараження: обман у шарах
Інфекція розвивається в кілька складних стадій:
Активація завантажувача шелл-коду : Завантажувач шелл-коду розшифровує та ініціює вбудований шелл-код.
Завантаження DLL-бічних файлів : легітимні бінарні файли використовуються для завантаження шкідливих DLL-файлів, приховуючи шкідливе програмне забезпечення від усіх.
Антивірусна програма та підвищення привілеїв : ці методи гарантують, що шкідливе програмне забезпечення уникне виявлення в ізольованих середовищах та забезпечить підвищені системні привілеї.
Корисне навантаження та призначення: Шпигунство та контроль
Остаточне корисне навантаження містить файл з назвою «msgDb.dat», який діє як основний модуль командування та управління (C2). Після активації він:
- Збирає конфіденційну інформацію користувачів
- Завантажує додаткові компоненти
- Дозволяє керувати віддаленим робочим столом
- Керує файлами на зараженій системі
Ці можливості свідчать про намір підтримувати довгостроковий доступ та спостереження за скомпрометованими машинами.
Еволюція тактик: Послідовні інновації від Silver Fox APT
Silver Fox APT постійно вдосконалює свій набір інструментів та методи атаки, що видно з використання:
- Фреймворк Winos 4.0
- Поширення Gh0stCringe через сторінки завантаження HTM
- HoldingHands RAT (також відомий як Gh0stBins)
Залежність групи від складного шелл-коду, багаторівневих завантажувачів та різних векторів доставки демонструє постійні зусилля щодо уникнення виявлення та максимізації успіху проникнення.
Висновок: Пильність є ключовою проти витончених акторів-злочинців
Ця кампанія підкреслює зростаючу витонченість APT-груп, таких як Silver Fox. Використовуючи надійні теми, оманливі формати файлів та приховані методи виконання, ці учасники становлять серйозну загрозу для цільових організацій. Постійний моніторинг, своєчасне встановлення патчів та надійна безпека електронної пошти є критично важливими засобами захисту від таких загроз, що постійно розвиваються.
