Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

SilverFox доставляет бэкдор Sauron через многоступенчатый загрузчик

3 мин
Аналитики кибербезопасности описали цепочку загрузчиков в стиле SilverFox, которая использует несколько уровней обфускации и вредоносных компонентов для доставки backdoor под названием Sauron. По данным отчета, атака строится как многоступенчатая операция: от первоначального exe-файла до создания постоянных механизмов закрепления в системе. Начальный исполняемый файл, названный ainstaller-86533005.exe, применяет нетривиальные техники для подготовки payload к запуску. В частности, он использует выделение памяти с правами write и execute, а полезная нагрузка дважды декодируется перед выполнением. Дальнейшее развитие цепочки включает несколько этапов: Ключевой этап развития вредоносного ПО связан с загрузкой и декодированием payload, после чего создается запись в Task Scheduler с применением VirtuOne. Отчет указывает на использование механизмов Task Scheduler RPC с заданными triggers, которые позволяют вредоносному коду запускать задачи через определенные интервалы. Отдельного внимания за
Оглавление

Аналитики кибербезопасности описали цепочку загрузчиков в стиле SilverFox, которая использует несколько уровней обфускации и вредоносных компонентов для доставки backdoor под названием Sauron. По данным отчета, атака строится как многоступенчатая операция: от первоначального exe-файла до создания постоянных механизмов закрепления в системе.

Как устроена цепочка заражения

Начальный исполняемый файл, названный ainstaller-86533005.exe, применяет нетривиальные техники для подготовки payload к запуску. В частности, он использует выделение памяти с правами write и execute, а полезная нагрузка дважды декодируется перед выполнением.

Дальнейшее развитие цепочки включает несколько этапов:

  • использование зашифрованных носителей, размещенных на Alibaba OSS;
  • маскировку объектов под изображения с именами вроде a.gif и b.gif;
  • подгрузку подписанных файлов с хостов, связанных с Philips и Microsoft;
  • распаковку дополнительных компонентов уже во время выполнения.

Использование Task Scheduler и VirtuOne

Ключевой этап развития вредоносного ПО связан с загрузкой и декодированием payload, после чего создается запись в Task Scheduler с применением VirtuOne. Отчет указывает на использование механизмов Task Scheduler RPC с заданными triggers, которые позволяют вредоносному коду запускать задачи через определенные интервалы.

Отдельного внимания заслуживает shellcode, встроенный в декодированный файл s.jpg. Он выступает в роли полезной нагрузки и дополнительно инициирует создание запланированных задач, обеспечивая длительное присутствие ВПО в фоновом режиме.

Компонент DLL-bridge и связь с Gh0stRAT

Цепочка продолжается через компонент DLL-bridge adoresd.dll, который распаковывается с использованием five-byte trailer как часть фреймворка ВПО. По данным отчета, загрузчик включает код из Gh0stRAT и опирается на устойчивые шаблоны экосистемы SilverFox.

Для таких кампаний характерны:

  • зашифрованная связь;
  • поэтапная доставка payload;
  • использование общих инструментов и методологий разными акторами угроз.

Финальные этапы: закрепление и сокрытие следов

Финальная стадия завершается созданием службы для backdoor Sauron. В рамках этого процесса вредоносное ПО копирует себя в критические системные расположения, включая каталог Windows, устанавливает запланированные задачи и задействует механизмы самораспространения.

Дополнительно используются процедуры очистки, удаляющие другие indicators of compromise. Это усложняет обнаружение и затрудняет последующий forensic analysis.

Техники уклонения от обнаружения

На протяжении всей операции ВПО демонстрирует устойчивые методы уклонения, включая Dynamic API resolution и различные проверки во время выполнения. Такие приемы помогают избегать обнаружения средствами защиты и повышают живучесть кампании.

Сложность среды вредоносного ПО SilverFox подчеркивает не только модульную природу современных угроз, но и критическую роль мониторинга необычных созданий запланированных задач и использования cloud storage-сервисов для доставки вредоносных загрузок.

Почему это важно

Отчет показывает, что современные угрозы все чаще опираются на модульные цепочки доставки, легитимную инфраструктуру и сочетание нескольких техник сокрытия. Особую опасность представляют:

  • необычные события в Task Scheduler;
  • использование cloud storage-сервисов как канала доставки;
  • наличие связей с семейством Gh0stRAT;
  • многоступенчатая архитектура, усложняющая анализ.

В итоге связка SilverFox и Gh0stRAT демонстрирует эволюцию угроз, при которой разные акторы используют общие инструменты, повторяющиеся паттерны и скрытные механизмы закрепления для проведения своих кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "SilverFox доставляет бэкдор Sauron через многоступенчатый загрузчик".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются