Недавняя кампания китайской APT‑группировки, известной как Silver Fox, продемонстрировала эволюцию тактик обмана: злоумышленники использовали кириллические символы и типографически похожий домен, чтобы выдать вредоносное ПО за легитимное приложение Microsoft Teams. Цель атаки — организации в Китае; вектор распространения — SEO‑отравление (SEO poisoning) с доставкой модифицированной версии загрузчика ValleyRAT.
Как работает кампания
Атака начинается с размещения вредоносного архива под именем MSTamsSetup.zip, который содержит исполняемый файл Setup.exe. В архиве злоумышленники сознательно используют кириллицу и полностью русифицированный интерфейс исполняемого файла — это служит ложным флагом и может ввести в заблуждение при установлении авторства и реагировании на инциденты.
Ключевые элементы атаки:
- Использование SEO‑отравления (SEO) для поднятия в поисковой выдаче поддельной страницы, имитирующей загрузку Microsoft Teams.
- Размещение вредоносного ПО на типографически похожем домене teamscn.com, что ориентировано на китайскоязычную аудиторию.
- Доставка модифицированного загрузчика ValleyRAT, который активируется при запуске Setup.exe из архива.
- Отсутствие надёжного ведения журналов в целевых системах (особенно Windows Event и PowerShell), что облегчает незаметную работу трояна.
«MSTamsSetup.zip содержит кириллицу и исполняемый файл, полностью представленный на русском языке, что может ввести в заблуждение при установлении авторства и усложнить процедуры реагирования на инциденты.»
Цели злоумышленников
У Silver Fox прослеживаются две основные мотивации:
- Спонсируемый государством шпионаж — сбор конфиденциальных разведывательных данных.
- Финансовое мошенничество для покрытия расходов и поддержки операций группы.
Ранее группа использовала аналогичную тактику SEO‑отравления, маскируясь под распространенные приложения, такие как Telegram и Chrome. В текущей кампании фокус поставлен на поддельный Microsoft Teams, что указывает на целенаправленные атаки против китайскоязычных пользователей и организаций, работающих в Китае или имеющих там подразделения.
Почему это особенно опасно
- Использование ложных флагов (кириллица, русский интерфейс) усложняет атрибуцию и может сбить с толку команды реагирования.
- Размещение на домене, визуально близком к легитимному, повышает вероятность успешной компрометации пользователей.
- Недостаточное логирование (Windows Event, PowerShell, мониторинг процессов rundll32) снижает видимость активности и увеличивает время обнаружения.
- Менее известные, но хорошо подготовленные группы способны проводить целенаправленные региональные кампании, которые могут застать службы безопасности врасплох.
Рекомендации по защите
Организациям рекомендуется принять упреждающие и оперативные меры — как технические, так и организационные:
- Включить и централизовать логирование: включите детальное журналирование PowerShell (Module, ScriptBlock и транскрипцию), собирайте и анализируйте Windows Event Logs, обеспечьте логирование командной строки процессов (включая rundll32).
- EDR и детекция поведения: разверните Endpoint Detection and Response с мониторингом аномалий при запуске исполняемых файлов из архивов и временных директорий.
- Фильтрация доменов и защита веб‑трафика: примените DNS‑фильтрацию, блокируйте подозрительные и типографически похожие домены, используйте URL‑фильтрацию и проверку сертификатов.
- Почтовая и веб‑безопасность: сканируйте вложения ZIP и исполняемые файлы на уровне прокси/шлюза, ограничьте автоматическое открытие вложений.
- Политика исполнения и allowlisting: ограничьте исполнение приложений через Application Control / allowlisting, запретите запуск исполняемых файлов из пользовательских каталогов и временных директорий.
- Повышение осведомленности пользователей: обучение персонала распознаванию фишинговых страниц, поддельных сайтов и подозрительных загрузок.
- Сегментация сети и управление привилегиями: минимизируйте права пользователей и сократите возможности для перемещения злоумышленников по сети.
- План реагирования: подготовьте процедуры инцидент‑レスponse с учётом ложных флагов и сценариев с ValleyRAT; регулярно проводите тесты.
Вывод
Кампания Silver Fox показывает, что злоумышленники продолжают совершенствовать методы социальной инженерии и технической маскировки, сочетая SEO‑атаки с ложными флагами и выбором локализованных эксплойтов. Для организаций, особенно имеющих присутствие в Китае, это сигнал к тому, чтобы усилить видимость событий в инфраструктуре, пересмотреть политики логирования и повысить готовность к атакам с элементами дезинформации. В условиях, когда менее известные APT могут действовать избирательно и эффективно, превентивные меры и постоянный мониторинг остаются ключевыми факторами безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Silver Fox: SEO-атака с ValleyRAT под видом Microsoft Teams".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.