Агрессивная китайская киберпреступная группировка Silver Fox, также известная под псевдонимами SwimSnake, The Great Thief of Valley и Void Arachne, начала новую кампанию, расширив географию своих атак. Ранее целями хакеров были организации в Китае и Тайване, теперь же в их поле зрения попали Япония и Малайзия. Для атак на новые регионы используется вредоносное программное обеспечение нового типа — троян удаленного доступа (RAT) HoldingHands, также известный как Gh0stBins.
Основным вектором заражения в атаках на Японию и Тайвань служат фишинговые электронные письма. Они содержат PDF-документы, замаскированные под проект налогового регулирования для Тайваня. Внутри документа скрыта ссылка, ведущая на веб-страницу на японском языке (
Исследование этой новой волны атак было проведено специалистами из Fortinet FortiGuard Labs, в частности исследователем Пей Хань Ляо. Он установил, что и новый троян HoldingHands, и основной инструмент группы Winos 4.0 (также известный как ValleyRAT) являются модификациями кода печально известного Gh0st RAT, исходники которого утекли в сеть еще в 2008 году. Ранее, в июне, исследователь под псевдонимом somedieyoungZZ также документировал атаки Silver Fox на Тайвань и Японию.
Процесс заражения с помощью HoldingHands RAT начинается с запуска исполняемого файла, замаскированного под «документ акцизной проверки». Этот файл использует технику DLL side-loading для загрузки вредоносной библиотеки, которая, в свою очередь, запускает шелл-код из файла
Для закрепления в системе вредоносное ПО сбрасывает несколько файлов в системную папку
На финальном этапе вредоносная библиотека
Параллельно с этой кампанией Silver Fox проводит еще одну операцию под кодовым названием «Operation Silk Lure», о которой сообщили исследователи из Seqrite Labs: Диксит Панчал, Сумен Бурма и Картик Дживани. Эта операция нацелена на китайские компании из секторов финансовых технологий, криптовалют и торговых платформ. Атаки направлены на HR-отделы и команды технического найма.
В рамках «Operation Silk Lure» злоумышленники рассылают узконаправленные фишинговые письма от имени соискателей. В качестве приманки используются вредоносные LNK-файлы (ярлыки Windows), встроенные в файлы резюме. После того как жертва кликает по ярлыку, запускается скрипт PowerShell. Он загружает для отвлечения внимания легитимный PDF-файл с резюме, но в то же время скрытно сбрасывает три файла в папку
Среди сброшенных файлов:
После активации Winos 4.0 начинает сбор разведывательной информации: делает снимки экрана, похищает содержимое буфера обмена и собирает метаданные системы. Для уклонения от обнаружения вредонос пытается деинсталлировать антивирусные продукты и принудительно завершает сетевые соединения защитных программ, таких как Kingsoft Antivirus, Huorong и 360 Total Security. Командные серверы для этой кампании расположены на территории США.
Активность группы Silver Fox постоянно эволюционирует. Месяцем ранее специалисты из Check Point сообщали, что группировка использовала атаку типа BYOVD (Bring Your Own Vulnerable Driver), эксплуатируя уязвимый драйвер от антивирусного ПО WatchDog для отключения защитных решений на зараженных системах. Ранее Fortinet также сообщал о кампании, где группа применяла SEO-отравление для распространения вредоноса HiddenGh0st и модулей из семейства Winos.
Изображение носит иллюстративный характер
Основным вектором заражения в атаках на Японию и Тайвань служат фишинговые электронные письма. Они содержат PDF-документы, замаскированные под проект налогового регулирования для Тайваня. Внутри документа скрыта ссылка, ведущая на веб-страницу на японском языке (
twsww[.]xin/download[.]html), которая предлагает пользователю скачать ZIP-архив с вредоносом HoldingHands. Для атак в Малайзии и Китае, которые фиксируются с марта 2024 года, используются поддельные целевые страницы и фишинговые письма с вредоносными документами Microsoft Excel на налоговую тематику, распространяющие основной инструмент группы — Winos 4.0. Исследование этой новой волны атак было проведено специалистами из Fortinet FortiGuard Labs, в частности исследователем Пей Хань Ляо. Он установил, что и новый троян HoldingHands, и основной инструмент группы Winos 4.0 (также известный как ValleyRAT) являются модификациями кода печально известного Gh0st RAT, исходники которого утекли в сеть еще в 2008 году. Ранее, в июне, исследователь под псевдонимом somedieyoungZZ также документировал атаки Silver Fox на Тайвань и Японию.
Процесс заражения с помощью HoldingHands RAT начинается с запуска исполняемого файла, замаскированного под «документ акцизной проверки». Этот файл использует технику DLL side-loading для загрузки вредоносной библиотеки, которая, в свою очередь, запускает шелл-код из файла
sw.dat. Этот начальный полезный модуль выполняет проверки на наличие виртуальной машины, принудительно завершает процессы антивирусных продуктов Avast, Norton и Kaspersky, повышает свои привилегии в системе и отключает службу «Планировщик заданий». Для закрепления в системе вредоносное ПО сбрасывает несколько файлов в системную папку
C:\Windows\System32. Среди них — основной вредоносный файл TimeBrokerClient.dll и переименованная легитимная копия BrokerClientCallback.dll. Также создаются файлы svchost.ini с адресом функции VirtualAlloc, зашифрованный шелл-код msvchost.dat и основной зашифрованный модуль HoldingHands RAT под именем system.dat. Механизм персистентности основан на том, что служба «Планировщик заданий» в Windows по умолчанию перезапускается через минуту после сбоя. При перезапуске системный процесс svchost.exe автоматически загружает подмененную вредоносную библиотеку TimeBrokerClient.dll, что затрудняет поведенческое обнаружение. На финальном этапе вредоносная библиотека
TimeBrokerClient.dll использует данные из svchost.ini для выделения памяти, загружает и исполняет шелл-код из msvchost.dat. Этот шелл-код расшифровывает и запускает основную полезную нагрузку из файла system.dat — троян HoldingHands. После активации он подключается к командному серверу (C2), каждые 60 секунд отправляет сигнал для поддержания связи, собирает информацию о хосте и выполняет команды злоумышленников, включая кражу данных, запуск произвольных команд и загрузку дополнительных модулей. Новой функцией трояна является возможность обновлять свой C2-адрес через запись в реестре Windows. Параллельно с этой кампанией Silver Fox проводит еще одну операцию под кодовым названием «Operation Silk Lure», о которой сообщили исследователи из Seqrite Labs: Диксит Панчал, Сумен Бурма и Картик Дживани. Эта операция нацелена на китайские компании из секторов финансовых технологий, криптовалют и торговых платформ. Атаки направлены на HR-отделы и команды технического найма.
В рамках «Operation Silk Lure» злоумышленники рассылают узконаправленные фишинговые письма от имени соискателей. В качестве приманки используются вредоносные LNK-файлы (ярлыки Windows), встроенные в файлы резюме. После того как жертва кликает по ярлыку, запускается скрипт PowerShell. Он загружает для отвлечения внимания легитимный PDF-файл с резюме, но в то же время скрытно сбрасывает три файла в папку
C:\Users\<user>\AppData\Roaming\Security. Среди сброшенных файлов:
vbs-скрипт, который создает в планировщике заданий ежедневную задачу на запуск keytool.exe в 8:00 утра; исполняемый файл keytool.exe, который использует DLL side-loading для загрузки вредоносной библиотеки jli.dll. Эта библиотека, в свою очередь, извлекает и запускает зашифрованную полезную нагрузку Winos 4.0, встроенную непосредственно в keytool.exe. После активации Winos 4.0 начинает сбор разведывательной информации: делает снимки экрана, похищает содержимое буфера обмена и собирает метаданные системы. Для уклонения от обнаружения вредонос пытается деинсталлировать антивирусные продукты и принудительно завершает сетевые соединения защитных программ, таких как Kingsoft Antivirus, Huorong и 360 Total Security. Командные серверы для этой кампании расположены на территории США.
Активность группы Silver Fox постоянно эволюционирует. Месяцем ранее специалисты из Check Point сообщали, что группировка использовала атаку типа BYOVD (Bring Your Own Vulnerable Driver), эксплуатируя уязвимый драйвер от антивирусного ПО WatchDog для отключения защитных решений на зараженных системах. Ранее Fortinet также сообщал о кампании, где группа применяла SEO-отравление для распространения вредоноса HiddenGh0st и модулей из семейства Winos.
