Кампанія зі шкідливим програмним забезпеченням Silver Fox ValleyRAT
Зловмисник, який працює під назвою Silver Fox, розпочав складну операцію під чужим прапором, спрямовану на маскування своєї діяльності під діяльність російської групи. Кампанія зосереджена на китайськомовних користувачах, включаючи співробітників західних організацій, присутніх у Китаї, і значною мірою покладається на маніпуляції пошуковими системами та підроблені інсталятори Microsoft Teams для доставки відомого трояна віддаленого доступу.
Зміст
Маскувальний вигляд російського актора
Нещодавня діяльність Silver Fox зосереджена на стратегічній спробі ввести аналітиків в оману, імітуючи російські групи загроз. Щоб підсилити цю ілюзію, зловмисники вбудовують кириличні елементи в модифіковані компоненти ValleyRAT і навіть упаковують шкідливі файли з російськими правилами іменування. Це навмисне введення в оману ускладнює атрибуцію, водночас дозволяючи групі переслідувати фінансово та геополітично мотивовані цілі.
Отруєння SEO та приманки на тему Teams
З листопада 2025 року Silver Fox проводить кампанію з оптимізації пошукових систем (SEO), спрямовану на заманювання жертв, які шукають Microsoft Teams. На відміну від попередніх операцій, які зловживали такими інструментами, як Chrome, Telegram, WPS Office та DeepSeek, ця хвиля зосереджена виключно на Teams.
Скомпрометовані результати пошуку перенаправляють користувачів на шахрайський веб-сайт, який видає себе за справжню сторінку завантаження Teams. Замість справжнього програмного забезпечення жертви отримують ZIP-архів під назвою «MSTчamsSetup.zip», розміщений на Alibaba Cloud. Кириличні символи в назві файлу підсилюють наратив про хибний прапор.
Троянізований інсталятор та приховане розгортання
Усередині ZIP-файлу знаходиться Setup.exe – підроблений інсталятор Teams, розроблений для ініціювання багатоетапної компрометації. Після запуску він проводить перевірки середовища, сканує двійкові файли, пов’язані з певним інструментом безпеки, та змінює налаштування Microsoft Defender, додаючи правила виключення. Він також розміщує підроблений інсталятор Microsoft – «Verifier.exe» – у каталог AppData\Local користувача та запускає його для підтримки потоку зараження.
Шкідливе програмне забезпечення продовжує роботу, генеруючи кілька допоміжних файлів у AppData\Local та AppData\Roaming. Потім воно завантажує дані конфігурації з цих файлів та впроваджує шкідливу DLL-бібліотеку в rundll32.exe, надійний компонент Windows, що дозволяє шкідливому програмному забезпеченню безперешкодно поєднуватися з легітимними процесами.
Активація ValleyRAT (Winos 4.0)
На заключному етапі розгортається ValleyRAT, похідна від Gh0st RAT. Після активації вона дозволяє дистанційно виконувати команди, постійне спостереження, крадіжку даних та повний контроль над системою. Хоча варіанти Gh0st RAT зазвичай пов'язують з китайськими кіберзлочинними групами, включення російських елементів Silver Fox є спробою перенаправити провину.
Кінцеві цілі та вплив
Операції Silver Fox служать як фінансовим цілям, так і цілям збору розвідувальних даних. Група прагне отримати прибуток шляхом шахрайства, афер та крадіжок, а також збирає конфіденційну інформацію, яка може забезпечити геополітичний вплив. Жертви стикаються з негайними наслідками:
- Крадіжка даних та розголошення конфіденційної інформації.
- Фінансові втрати внаслідок шахрайства або несанкціонованої діяльності.
- Довгострокове порушення цілісності внутрішніх систем та мереж.
Чому цей фальшивий прапор має значення
Імітуючи іноземну групу кіберзагроз, Silver Fox підтримує правдоподібну можливість заперечення та діє без пильної уваги, яка зазвичай спрямована на державні організації. Ця складна стратегія ухилення, у поєднанні з ланцюгом зараження, що розвивається, підкреслює необхідність підвищеної пильності, посиленого захисту кінцевих точок та постійного моніторингу, особливо для організацій, що працюють у регіонах, які часто стають ціллю складних кіберзагроз.
