Компании Тайваня подвергаются атакам, в которых злоумышленники используют фишинговые письма, маскирующиеся под официальную переписку Национального налогового бюро. Письма содержат вложения, выглядящие как документы Министерства финансов, что повышает доверие получателей.
Первоначальное обнаружение кампании осуществилось Fortinet FortiGuard Labs в прошлом месяце, а подробности атаки были зафиксированы исследователем безопасности Пэй Хан Лиао и опубликованы в отчёте для The Hacker News.
Письмо содержит вложенный ZIP-файл, который, по сообщению, включает список предприятий, якобы подлежащих налоговой проверке, с инструкцией переслать информацию в бухгалтерию компании. В действительности файл содержит шпионскую DLL "lastbld2Base.dll".
DLL запускает shellcode, который обращается к удалённому серверу с IP-адресом 206.238.221[.]60 для загрузки модуля Winos 4.0. Этот модуль выполняет функции входа в систему, включая съёмку скриншотов, регистрацию нажатий клавиш, изменение буфера обмена, мониторинг USB-устройств, выполнение shellcode и активацию командной строки через cmd.exe при появлении запросов от Kingsoft Security и Huorong.
Анализ обнаружил вторую цепочку атаки, при которой загружается онлайн-модуль, способный фиксировать скриншоты интерфейсов WeChat и онлайн-банкинга, что свидетельствует о многоступенчатом характере операции.
Группировки, именуемые Void Arachne и Silver Fox, используют данный набор инструментов, в основе которого лежат вариации Gh0st RAT, разработанного в Китае и опубликованного с открытым исходным кодом в 2008 году. Как отметил Дэниел дос Сантос, руководитель отдела исследований безопасности в Forescout's Vedere Labs: "Winos и ValleyRAT представляют собой вариации Gh0st RAT, которым приписывают атаки Silver Fox в разное время». При этом термин Winos использовался в 2023 и 2024 годах, а ValleyRAT стал более распространённым обозначением.
ValleyRAT был впервые обнаружен в начале 2023 года и недавно использует поддельные сайты Chrome для заражения пользователей, говорящих на китайском языке. Параллельно с этим в цепочке Winos 4.0 внедрён установщик CleverSoar, распространяющийся через MSI-пакет в виде поддельных программ или игровых приложений. Кроме того, CleverSoar инициирует развёртывание открытого руткита Nidhogg.
Установщик CleverSoar проверяет языковые настройки системы, и процесс заражения продолжается только при наличии китайского или вьетнамского языка, а в противном случае установка прекращается. Такое поведение было зафиксировано Rapid7 в конце ноября 2024 года.
Дополнительная кампания Silver Fox APT использует троянские версии DICOM-просмотрщиков Philips с целью распространения ValleyRAT. В рамках этой операции также устанавливаются кейлоггер для регистрации действий пользователей и криптомайнер, эксплуатирующий ресурсы системы для финансовой выгоды. Атака эксплуатирует уязвимость в драйвере TrueSight, который отключает антивирусное программное обеспечение, обеспечивая злоумышленникам удалённый доступ и контроль над заражёнными системами.
Изображение носит иллюстративный характер
Первоначальное обнаружение кампании осуществилось Fortinet FortiGuard Labs в прошлом месяце, а подробности атаки были зафиксированы исследователем безопасности Пэй Хан Лиао и опубликованы в отчёте для The Hacker News.
Письмо содержит вложенный ZIP-файл, который, по сообщению, включает список предприятий, якобы подлежащих налоговой проверке, с инструкцией переслать информацию в бухгалтерию компании. В действительности файл содержит шпионскую DLL "lastbld2Base.dll".
DLL запускает shellcode, который обращается к удалённому серверу с IP-адресом 206.238.221[.]60 для загрузки модуля Winos 4.0. Этот модуль выполняет функции входа в систему, включая съёмку скриншотов, регистрацию нажатий клавиш, изменение буфера обмена, мониторинг USB-устройств, выполнение shellcode и активацию командной строки через cmd.exe при появлении запросов от Kingsoft Security и Huorong.
Анализ обнаружил вторую цепочку атаки, при которой загружается онлайн-модуль, способный фиксировать скриншоты интерфейсов WeChat и онлайн-банкинга, что свидетельствует о многоступенчатом характере операции.
Группировки, именуемые Void Arachne и Silver Fox, используют данный набор инструментов, в основе которого лежат вариации Gh0st RAT, разработанного в Китае и опубликованного с открытым исходным кодом в 2008 году. Как отметил Дэниел дос Сантос, руководитель отдела исследований безопасности в Forescout's Vedere Labs: "Winos и ValleyRAT представляют собой вариации Gh0st RAT, которым приписывают атаки Silver Fox в разное время». При этом термин Winos использовался в 2023 и 2024 годах, а ValleyRAT стал более распространённым обозначением.
ValleyRAT был впервые обнаружен в начале 2023 года и недавно использует поддельные сайты Chrome для заражения пользователей, говорящих на китайском языке. Параллельно с этим в цепочке Winos 4.0 внедрён установщик CleverSoar, распространяющийся через MSI-пакет в виде поддельных программ или игровых приложений. Кроме того, CleverSoar инициирует развёртывание открытого руткита Nidhogg.
Установщик CleverSoar проверяет языковые настройки системы, и процесс заражения продолжается только при наличии китайского или вьетнамского языка, а в противном случае установка прекращается. Такое поведение было зафиксировано Rapid7 в конце ноября 2024 года.
Дополнительная кампания Silver Fox APT использует троянские версии DICOM-просмотрщиков Philips с целью распространения ValleyRAT. В рамках этой операции также устанавливаются кейлоггер для регистрации действий пользователей и криптомайнер, эксплуатирующий ресурсы системы для финансовой выгоды. Атака эксплуатирует уязвимость в драйвере TrueSight, который отключает антивирусное программное обеспечение, обеспечивая злоумышленникам удалённый доступ и контроль над заражёнными системами.
