Silver Fox: новая угроза кибершпионажа из Китая
С начала 2024 года мир кибербезопасности столкнулся с активностью группы Silver Fox — спонсируемой государством APT-организации из Китая, известной также как Void Arachne или «Великий вор из Долины». Эта группа специализируется на кражах данных и кибершпионаже, нацеливаясь на ключевые секторы экономики и безопасности: здравоохранение, государственные структуры и критически важную инфраструктуру.
Основные особенности деятельности Silver Fox
Одним из ключевых инструментов атаки Silver Fox является пользовательский троянец удаленного доступа под названием Winos 4.0, или ValleyRAT. Этот вредонос был создан на базе устаревшей, но проверенной временем платформы Gh0st RAT, что позволяет злоумышленникам эффективно управлять зараженными системами.
- Первоначальное заражение происходит через SEO-отравление и фишинговые кампании. Злоумышленники распространяют вредоносные версии легитимного программного обеспечения, включая установщики для Chrome и AI-инструментов.
- Примером служит файл MediaViewerLauncher.exe, маскирующийся под официальное приложение Philips DICOM Viewer. Он выступает в роли первого загрузчика вредоносного ПО, позволяя внедрить ValleyRAT во время инсталляции.
- Дальнейшая коммуникация идет через облачный сервис хранения данных Alibaba, где вредоносные компоненты тщательно замаскированы.
Методы обхода защиты и поддержание контроля
Для обхода систем безопасности Silver Fox использует ряд сложных техник:
- Создание исключений в Windows Defender, исключающих сканирование директорий с вредоносными файлами.
- Настройка запланированных задач, обеспечивающих автозапуск вредоносного ПО после перезагрузки системы.
- Отключение endpoint protection путём эксплуатации уязвимостей драйверов, что даёт повышенные права и позволяет завершать процессы безопасности.
Многоступенчатая стратегия атак
Кульминацией атак Silver Fox является установка сочетания нескольких вредоносных компонентов, каждый из которых решает отдельную задачу:
- ValleyRAT — для дистанционного управления заражённой системой.
- Кейлоггер — для сбора конфиденциальных данных пользователей.
- Криптомайнер — который тайно использует ресурсы жертвы для майнинга криптовалюты, принося финансовую выгоду злоумышленникам.
Все эти компоненты работают незаметно, поддерживая длительный контроль над заражёнными системами и обеспечивая стабильную утечку информации.
Выводы
Активность Silver Fox демонстрирует, насколько опасны современные государственно спонсируемые кибератаки. Использование сложных методов проникновения, обхода защиты и многоуровневого вредоносного ПО позволяет группе эффективно внедряться в системы критически важных объектов. Это подтверждает важность обновления систем безопасности и повышения осведомлённости пользователей о рисках загрузки программ из ненадёжных источников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Silver Fox: инновационные методы кибершпионажа и взломов в 2024 году".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.