AtlasCross RAT
一場大規模網路攻擊活動正透過搶注域名,冒充知名軟體品牌,積極針對中文用戶發動攻擊。這些欺騙性網站旨在傳播一種先前未被記錄的遠端存取木馬——AtlasCross RAT。該攻擊活動利用了用戶對常用應用程式的信任,這些應用程式包括VPN用戶端、加密通訊平台、視訊會議工具、加密貨幣追蹤器和電子商務軟體。
該基礎設施包含 11 個已確認的惡意域名,這些域名模仿 Surfshark VPN、Signal、Telegram、Zoom 和 Microsoft Teams 等知名服務。這種策略性的模仿利用了品牌知名度,提高了感染成功的可能性。
目錄
威脅行為者簡介:銀狐集團
這次攻擊活動被認為是臭名昭著的中國網路犯罪集團「銀狐」(Silver Fox)所為。該團體使用多個化名,包括SwimSnake、The Great Thief of Valley(Valley Thief)、UTG-Q-1000和Void Arachne。安全研究人員認為,該團體是近年來最活躍的網路威脅之一,尤其因為其持續攻擊企業內部的管理人員和財務人員。
Silver Fox 利用多種感染途徑,例如即時通訊平台、釣魚郵件和盜版軟體分發網站。該組織的目標包括遠端系統控制、竊取敏感資料和進行金融詐騙。
惡意軟體的演進:從 Gh0st RAT 到 AtlasCross
AtlasCross RAT 的出現標誌著 Silver Fox 惡意軟體工具包的重大進步。早期的惡意軟體主要依賴 Gh0st RAT 的變種,包括 ValleyRAT(又稱 Winos 4.0)、Gh0stCringe 和 HoldingHands RAT(Gh0stBins)。 AtlasCross 代表了一種更複雜的演進,它融合了更強大的隱藏性、執行性和持久化機制。
感染鏈分解:從誘捕到執行
攻擊鏈始於詐騙網站,這些網站誘騙用戶下載 ZIP 壓縮套件。這些壓縮套件包含安裝程序,會同時部署一個合法的誘餌應用程式和一個被植入木馬的 Autodesk 二進位。惡意安裝程式會啟動一個 shellcode 載入器,該載入器會解密源自 Gh0st RAT 的嵌入式設定。
該過程提取命令與控制 (C2) 詳細信息,並透過 TCP 連接埠 9899 從網域「bifa668.com」檢索第二階段有效載荷。最後階段導致 AtlasCross RAT 在記憶體中執行,從而顯著降低傳統安全工具的偵測率。
惡意基礎設施:武器化域名
該攻擊活動展現了協調一致的基礎設施佈局,大多數惡意域名註冊於2025年10月27日,顯示這是經過精心策劃的。已確認用於傳播惡意軟體的網域名稱包括:
app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com
這些網域名稱與合法服務非常相似,通常會加入細微的拼字變更或區域識別碼以避免引起懷疑。
濫用信任:被盜的程式碼簽署證書
所有已識別的惡意安裝程序均使用同一份被盜的擴展驗證 (EV) 代碼簽名證書進行簽名,該證書頒發給位於越南河內的 DUC FABULOUS CO., LTD 公司。在多個互不相關的惡意軟體活動中重複使用此證書,表明該證書在網路犯罪生態系統中廣泛傳播。這種策略增強了惡意二進位檔案的合法性,並有助於繞過安全防禦。
進階功能:AtlasCross RAT 內部結構
AtlasCross RAT 引入了一系列強大的功能,旨在實現隱蔽性、持久性和控制性。它整合了 PowerChell 框架,這是一個原生的 C/C++ PowerShell 執行引擎,可將 .NET 公用語言執行階段 (CLR) 直接嵌入到惡意軟體進程中。
在執行指令之前,該惡意軟體會停用關鍵的安全機制,例如 AMSI、ETW、受限語言模式和 ScriptBlock 日誌記錄。與命令與控制伺服器的通訊使用 ChaCha20 加密,每個資料包的隨機密鑰由基於硬體的隨機數產生器產生。
主要功能包括:
- 針對微信的定向DLL注入
- 遠端桌面協定 (RDP) 會話劫持
- 終止來自360安全中心、火融安全中心、金山安全中心和QQ電腦管家等中國安全工具的TCP級連線。
- 檔案系統操作和 shell 命令執行
- 透過創建計劃任務實現持久性
營運策略:大規模欺騙
為了維持信譽並逃避檢測,「銀狐」組織採用多層域名策略,包括域名搶注、域名劫持和DNS操縱,並經常結合特定地區的命名規則來降低用戶的懷疑。該組織能夠逼真地模仿合法服務,這在其攻擊活動中發揮了至關重要的作用。
亞洲攻擊途徑不斷擴大
至少自2025年12月起,該組織已將業務擴展至多個國家,包括日本、馬來西亞、菲律賓、泰國、印尼、新加坡和印度。攻擊手段也隨之演變,從帶有惡意PDF附件的網路釣魚郵件,發展到濫用合法但配置錯誤的遠端監控和管理工具,例如SyncFuture TSM。
後續的攻擊活動還部署了一種基於Python的資訊竊取程序,該程序偽裝成WhatsApp應用程式。 2026年1月的早期活動則涉及以稅務為主題的誘餌,目標是印度用戶,該誘餌使用Blackmoon惡意軟體。
靈活的武器庫:適應性網路犯罪行動
Silver Fox 透過整合多種惡意軟體家族和技術,展現出極高的運作彈性。它結合了 ValleyRAT、遠端監控管理 (RMM) 工具以及基於 Python 的自訂竊取器,能夠快速調整感染鏈。這種多功能性既支持大規模機會主義攻擊,也支持更具針對性的策略攻擊。
該組織採用雙軌制模式,既進行廣泛的攻擊,也進行更複雜的行動,旨在長期存取系統和更深入的網路滲透。
精準網路釣魚:瞄準企業受害者
除了大規模的網路攻擊活動外,Silver Fox 還會針對特定產業,特別是日本製造商,發動有針對性的魚叉式網路釣魚攻擊。這些攻擊會使用極具迷惑性的誘餌,內容涉及稅務合規、薪資調整、職位變動和員工持股計畫等。
ValleyRAT一旦部署,攻擊者即可:
- 取得對受感染系統的完全遠端控制權
- 收集敏感和財務數據
- 即時監控用戶活動
- 保持網路內的持久性
這種級別的存取權限使威脅行為者能夠升級攻擊、竊取機密訊息,並為在受損環境中進一步的利用階段做好準備。
