„Silver Fox“ APT kampanijos šešėliuose
Table of Contents
Kas yra „Silver Fox APT“?
„Silver Fox APT“ – tai pavadinimas, priskiriamas sudėtingai ir nuolatinei kibernetinių grėsmių grupei, nustatytai per neseniai per sukčiavimo atakas, nukreiptas prieš vartotojus Taivane. Ši grupė, veikianti bent nuo 2024 m. pradžios, buvo pastebėta naudojanti įvairias kenkėjiškų programų atmainas, įskaitant „Gh0st RAT“ variantus, būtent „Gh0stCringe“ ir mažiau žinomą atmainą, pagrįstą „HoldingHands RAT“. Kibernetinio saugumo tyrėjai šias priemones susiejo su platesne kibernetinio šnipinėjimo veikla, kuri, kaip manoma, kilo iš Kinijos grėsmių veikėjų.
Taktinis požiūris į sukčiavimą sukčiavimu
Pagrindinis grupės atakų metodas – tikslinės sukčiavimo kampanijos. Tai ne kasdieniai šlamšto el. laiškai – jie įtikinamai sukurti taip, kad atrodytų kaip oficialūs patikimų institucijų pranešimai. Pastaruoju metu el. laiškai apsimetė siunčiami iš Taivano nacionalinio mokesčių biuro (kuris nėra susijęs su šia kenkėjiška programa) – tai sumanus žingsnis siekiant pasinaudoti su mokesčiais susijusiu skubumu. Tikslas – privilioti gavėjus atidaryti PDF priedus arba ZIP failus, kuriuose yra kenkėjiškų programų.
Šią kampaniją išskiria dėmesys detalėms. PDF failuose yra nuorodų, kurios nukreipia vartotojus į pažeistus atsisiuntimo puslapius. Iš ten aukos raginamos atsisiųsti ZIP archyvus, kuriuose yra, regis, teisėtos programos. Tačiau šiuose archyvuose taip pat yra įkrovos programų ir užšifruoto apvalkalo kodo, kurie inicijuoja kenkėjiškų programų užkrėtimo procesą.
Sudėtinga infekcijos grandinė
„Silver Fox APT“ nesiremia vieno žingsnio kenkėjiškų programų pristatymu. Vietoj to, ji naudoja daugiasluoksnę užkrėtimo seką, skirtą išvengti aptikimo ir saugumo priemonių. Atakų grandinė prasideda nuo teisėtos programinės įrangos, susietos su kenksmingais komponentais, konkrečiai – DLL failais, vykdomais naudojant DLL šoninį įkėlimą – tai žinoma apėjimo taktika.
Kai kenkėjiška programa paleidžiama, ji padidina savo teises ir naudoja antivirtualių mašinų (anti-VM) patikras, kad užtikrintų, jog ji nebūtų analizuojama smėlio dėžės aplinkoje. Galiausiai kenkėjiškas procesas suaktyvina pagrindinį komponentą, vadinamą „msgDb.dat“. Šis failas užmezga ryšį su komandų ir valdymo (C2) serveriais, leisdamas užpuolikams išgauti duomenis, tvarkyti failus ir netgi gauti nuotolinę prieigą prie užkrėstų sistemų.
Besivystantys įrankiai ir metodai
„Silver Fox APT“ aiškiai parodė, kaip laikui bėgant pritaiko savo įrankius ir taktiką. „Fortinet“ priklausanti „FortiGuard Labs“, atidžiai stebėjusi šią grėsmių grupę, pažymėjo, kad šiose atakose naudojami kenkėjiškų programų variantai nuolat kinta. Grupė modifikavo ir atnaujino savo įrankių rinkinį, tobulindama savo naudingosios apkrovos diegimo ir savo ketinimų slėpimo būdus.
Naudojamos kenkėjiškų programų šeimos, tokios kaip „HoldingHands RAT“ ir „Gh0stCringe“, pačios yra pagrįstos senesniu, bet vis dar veiksmingu „Gh0st RAT“ kodu. Šis senesnių kenkėjiškų programų įrankių pakartotinis naudojimas ir modifikavimas rodo, kad grupė turi tiek techninių žinių, tiek išteklių ilgalaikei veiklai palaikyti.
Ką tai reiškia kibernetiniam saugumui
Nors tiesioginiai taikiniai, regis, yra Taivano asmenys ir organizacijos, „Silver Fox APT“ naudojama taktika pabrėžia augantį susirūpinimą dėl pasaulinio kibernetinio saugumo: didėjantį su valstybėmis susijusių grėsmių veikėjų sudėtingumą ir atkaklumą. Jų naudojamas teisėtas programinės įrangos naudojimas kenkėjiškiems ketinimams užmaskuoti ir daugiapakopės atakos, siekiant sumažinti aptikimą, rodo poslinkį link pažangesnių nuolatinių grėsmių operacijų, kurios gali tyliai įsiskverbti į sistemas ir ilgą laiką likti nepastebėtos.
Organizacijos, ypač tos, kurios tvarko slaptą ar vyriausybinę informaciją, turi pripažinti, kad tokios grėsmių grupės kaip „Silver Fox“ taikosi ne tik į didelės vertės infrastruktūrą, bet ir pasirengusios išnaudoti bet kokį prieinamą vektorių, įskaitant žemesnio lygio darbuotojus ir kasdienes verslo operacijas.
Poveikis, viršijantis tiesioginį tikslą
Nors ši kampanija lokalizuota Taivane, stebimi metodai yra universalūs. Sukčiavimas apsimetant, DLL šoninis įkėlimas ir apvalkalo kodo klaidinimas nėra geografiškai riboti, todėl panaši taktika gali būti lengvai nukreipta į institucijas kitur. Kenkėjiškos programos modulinis pobūdis leidžia ją pritaikyti skirtingiems taikiniams ar tikslams.
„Silver Fox APT“ veikla primena, kad gynybai nuo šiuolaikinių kibernetinių grėsmių reikia daugiau nei vien antivirusinės programinės įrangos. Išsami gynyba, proaktyvus grėsmių aptikimas, darbuotojų informavimo mokymai ir reguliarus sistemos stebėjimas yra labai svarbūs norint nustatyti ir sušvelninti grėsmes, kol jos dar neesminės.
Baigiamosios mintys
„Silver Fox APT“ iškilimas rodo, kaip kibernetiniai priešininkai toliau pritaiko, tobulina ir diegia naujoves savo metoduose. Nors ši kampanija dar nesukėlė didelių viešųjų ryšių sutrikimų, tai yra aiškus įspėjamasis šūvis. Grėsmių kūrėjai tampa metodiškesni, jų kenkėjiškos programos – sunkiau išsprendžiamos, o taikiniai – įvairesni. Informuotumas ir pasiruošimas yra geriausia gynyba šiame nuolat kintančiame kibernetiniame pasaulyje.
