AtlasCross RAT
一场大规模网络攻击活动正通过抢注域名,冒充知名软件品牌,积极针对中文用户发起攻击。这些欺骗性网站旨在传播一种此前未被记录的远程访问木马——AtlasCross RAT。该攻击活动利用了用户对常用应用程序的信任,这些应用程序包括VPN客户端、加密通讯平台、视频会议工具、加密货币追踪器和电子商务软件。
该基础设施包含 11 个已确认的恶意域名,这些域名模仿 Surfshark VPN、Signal、Telegram、Zoom 和 Microsoft Teams 等知名服务。这种策略性的模仿利用了品牌知名度,提高了感染成功的可能性。
目录
威胁行为者简介:银狐集团
此次攻击活动被认为是臭名昭著的中国网络犯罪团伙“银狐”(Silver Fox)所为。该团伙使用多个化名,包括SwimSnake、The Great Thief of Valley(Valley Thief)、UTG-Q-1000和Void Arachne。安全研究人员认为,该团伙是近年来最活跃的网络威胁之一,尤其因为其持续攻击企业内部的管理人员和财务人员。
Silver Fox 利用多种感染途径,例如即时通讯平台、钓鱼邮件和盗版软件分发网站。该组织的目标包括远程系统控制、窃取敏感数据和进行金融诈骗。
恶意软件的演变:从 Gh0st RAT 到 AtlasCross
AtlasCross RAT 的出现标志着 Silver Fox 恶意软件工具包的重大进步。早期的恶意软件主要依赖于 Gh0st RAT 的变种,包括 ValleyRAT(又名 Winos 4.0)、Gh0stCringe 和 HoldingHands RAT(Gh0stBins)。AtlasCross 代表了一种更为复杂的演进,它融合了更强大的隐蔽性、执行和持久化机制。
感染链分解:从诱捕到执行
攻击链始于欺诈网站,这些网站诱骗用户下载 ZIP 压缩包。这些压缩包中包含安装程序,会同时部署一个合法的诱饵应用程序和一个被植入木马的 Autodesk 二进制文件。恶意安装程序会启动一个 shellcode 加载器,该加载器会解密源自 Gh0st RAT 的嵌入式配置。
该过程提取命令与控制 (C2) 详细信息,并通过 TCP 端口 9899 从域“bifa668.com”检索第二阶段有效载荷。最后阶段导致 AtlasCross RAT 在内存中执行,从而显著降低传统安全工具的检测率。
恶意基础设施:武器化域名
该攻击活动展现了协调一致的基础设施布局,大多数恶意域名注册于2025年10月27日,表明这是经过精心策划的。已确认用于传播恶意软件的域名包括:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
这些域名与合法服务非常相似,通常会加入细微的拼写变化或区域标识符以避免引起怀疑。
滥用信任:被盗的代码签名证书
所有已识别的恶意安装程序均使用同一份被盗的扩展验证 (EV) 代码签名证书进行签名,该证书颁发给位于越南河内的 DUC FABULOUS CO., LTD 公司。在多个互不相关的恶意软件活动中重复使用此证书,表明该证书在网络犯罪生态系统中广泛传播。这种策略增强了恶意二进制文件的合法性,并有助于绕过安全防御。
高级功能:AtlasCross RAT 内部结构
AtlasCross RAT 引入了一系列强大的功能,旨在实现隐蔽性、持久性和控制性。它集成了 PowerChell 框架,这是一个原生的 C/C++ PowerShell 执行引擎,可将 .NET 公共语言运行时 (CLR) 直接嵌入到恶意软件进程中。
在执行命令之前,该恶意软件会禁用关键的安全机制,例如 AMSI、ETW、受限语言模式和 ScriptBlock 日志记录。与命令与控制服务器的通信使用 ChaCha20 加密,每个数据包的随机密钥由基于硬件的随机数生成器生成。
主要功能包括:
- 针对微信的定向DLL注入
- 远程桌面协议 (RDP) 会话劫持
- 终止来自360安全中心、火融安全中心、金山安全中心和QQ电脑管家等中国安全工具的TCP级连接。
- 文件系统操作和 shell 命令执行
- 通过创建计划任务实现持久性
运营策略:大规模欺骗
为了维持信誉并逃避检测,“银狐”组织采用多层域名策略,包括域名抢注、域名劫持和DNS操纵,并经常结合特定地区的命名规则来降低用户的怀疑。该组织能够逼真地模仿合法服务,这在其攻击活动中发挥了至关重要的作用。
亚洲攻击途径不断扩大
至少自2025年12月起,该组织已将其业务扩展至多个国家,包括日本、马来西亚、菲律宾、泰国、印度尼西亚、新加坡和印度。攻击手段也随之演变,从带有恶意PDF附件的网络钓鱼邮件,发展到滥用合法但配置错误的远程监控和管理工具,例如SyncFuture TSM。
后续的攻击活动还部署了一种基于Python的信息窃取程序,该程序伪装成WhatsApp应用程序。2026年1月的早期活动则涉及以税务为主题的诱饵,目标是印度用户,该诱饵使用Blackmoon恶意软件。
灵活的武器库:适应性网络犯罪行动
Silver Fox 通过整合多种恶意软件家族和技术,展现出极高的运行灵活性。它结合了 ValleyRAT、远程监控管理 (RMM) 工具以及基于 Python 的自定义窃取器,能够快速调整感染链。这种多功能性既支持大规模机会主义攻击,也支持更具针对性的战略攻击。
该组织采用双轨制模式,既开展广泛的攻击,也进行更复杂的行动,旨在长期访问系统和更深入的网络渗透。
精准网络钓鱼:瞄准企业受害者
除了大规模的网络攻击活动外,Silver Fox 还会针对特定行业,特别是日本制造商,发起有针对性的鱼叉式网络钓鱼攻击。这些攻击会使用极具迷惑性的诱饵,内容涉及税务合规、薪资调整、职位变动和员工持股计划等。
ValleyRAT一旦部署,攻击者即可:
- 获得对受感染系统的完全远程控制权
- 收集敏感和财务数据
- 实时监控用户活动
- 保持网络内的持久性
这种级别的访问权限使威胁行为者能够升级攻击、窃取机密信息,并为在受损环境中进一步的利用阶段做好准备。
