Silver Fox APT
Các chuyên gia an ninh mạng đã phát hiện ra một chiến dịch lừa đảo tiên tiến và đang phát triển chủ yếu nhắm vào người dùng ở Đài Loan. Được điều hành bởi một nhóm đe dọa được xác định là Silver Fox APT, hoạt động này sử dụng các tài liệu có chứa phần mềm độc hại và email lừa đảo để phân phối một loạt trojan truy cập từ xa (RAT) nguy hiểm, bao gồm HoldingHands RAT và Gh0stCringe, cả hai đều là biến thể của Gh0st RAT khét tiếng.
Mục lục
Lừa đảo bằng khuôn mặt quen thuộc: Mạo danh cơ quan chính phủ
Cuộc tấn công bắt đầu bằng các email lừa đảo mạo danh các tổ chức chính thức như Cục Thuế Quốc gia Đài Loan. Những email này thường bao gồm các chủ đề liên quan đến thuế, hóa đơn hoặc lương hưu để lợi dụng lòng tin của người nhận và nhắc họ mở các tệp đính kèm. Trong một số biến thể, hình ảnh nhúng đóng vai trò kích hoạt tải xuống phần mềm độc hại khi nhấp vào, thể hiện sự thay đổi so với các mồi nhử dựa trên tài liệu truyền thống.
Tài liệu vũ khí hóa: PDF và ZIP là phương tiện phân phối phần mềm độc hại
Cơ chế phân phối chính là các tài liệu PDF độc hại hoặc tệp ZIP được đính kèm vào email lừa đảo. Các tệp này chứa các liên kết chuyển hướng người dùng đến các trang tải xuống lưu trữ các tệp ZIP được đóng gói với:
- Các tệp thực thi có vẻ hợp pháp
- Bộ nạp shellcode
- Mã shellcode được mã hóa
Khi được thực thi, các thành phần này hoạt động song song để triển khai phần mềm độc hại mà không gây ra báo động.
Chuỗi lây nhiễm nhiều giai đoạn: Lừa dối theo từng lớp
Quá trình nhiễm trùng diễn ra theo nhiều giai đoạn phức tạp:
Kích hoạt Shellcode Loader : Trình tải shellcode giải mã và khởi tạo shellcode được nhúng.
Tải DLL bên lề : Các tệp nhị phân hợp pháp bị lạm dụng để tải các tệp DLL độc hại, ẩn phần mềm độc hại ở nơi dễ thấy.
Chống VM và leo thang đặc quyền : Các kỹ thuật này đảm bảo phần mềm độc hại tránh bị phát hiện trong môi trường hộp cát và bảo mật các đặc quyền hệ thống cao hơn.
Tải trọng và Mục đích: Gián điệp và Kiểm soát
Tải trọng cuối cùng bao gồm một tệp có tên 'msgDb.dat', hoạt động như mô-đun Command-and-Control (C2) chính. Khi hoạt động, nó:
- Thu thập thông tin nhạy cảm của người dùng
- Tải xuống các thành phần bổ sung
- Cho phép điều khiển máy tính từ xa
- Quản lý các tập tin trên hệ thống bị nhiễm
Những khả năng này cho thấy ý định duy trì quyền truy cập và giám sát lâu dài trên các máy bị xâm phạm.
Chiến thuật tiến hóa: Đổi mới nhất quán của Silver Fox APT
Silver Fox APT liên tục cải tiến bộ công cụ và kỹ thuật tấn công của mình, có thể thấy qua cách sử dụng:
- Khung Winos 4.0
- Sự lan truyền Gh0stCringe thông qua các trang tải xuống HTM
- HoldingHands RAT (còn được gọi là Gh0stBins)
Việc nhóm này dựa vào shellcode phức tạp, trình tải nhiều lớp và các vector phân phối khác nhau cho thấy nỗ lực liên tục nhằm trốn tránh phát hiện và tối đa hóa khả năng xâm nhập.
Kết luận: Cảnh giác là chìa khóa chống lại các tác nhân đe dọa tinh vi
Chiến dịch này nhấn mạnh sự tinh vi ngày càng tăng của các nhóm APT như Silver Fox. Bằng cách tận dụng các chủ đề đáng tin cậy, định dạng tệp lừa đảo và các kỹ thuật thực thi lén lút, những tác nhân này gây ra mối đe dọa nghiêm trọng cho các tổ chức mục tiêu. Việc giám sát liên tục, vá lỗi kịp thời và bảo mật email mạnh mẽ là những biện pháp phòng thủ quan trọng chống lại các mối đe dọa đang phát triển như vậy.
