Хитрый инструмент играет на доверии, незаметно разрушая защитные барьеры.
Исследователи из Intezer Labs выявили серию кибератак, нацеленных на организации в китаеязычных регионах, включая Гонконг, Тайвань и материковый Китай. В ходе этих атак используется многоэтапный загрузчик PNGPlug для доставки вредоносного ПО ValleyRAT.
Атака начинается с фишинговой страницы, убеждающей жертву скачать вредоносный MSI-файл, маскирующийся под легитимное программное обеспечение. После запуска этот файл выполняет две задачи: устанавливает безвредное приложение для создания иллюзии легитимности и извлекает зашифрованный архив с вредоносными компонентами.
MSI-файл использует функцию Windows Installer CustomAction для выполнения вредоносного кода. Зашифрованный архив «all.zip» расшифровывается с использованием встроенного пароля «hello202411». Среди основных компонентов — «libcef.dll» (загрузчик), «down.exe» (легитимное приложение) и файлы «aut.png» и «view.png», которые замаскированы под изображения, однако содержат в себе вредоносные данные.
Задача загрузчика «libcef.dll» заключается в подготовке среды для выполнения вредоносного ПО. Он вносит изменения в системный файл «ntdll.dll» для внедрения данных в память и анализирует параметры командной строки. Если обнаруживается параметр «/aut», загрузчик извлекает путь к файлу «down.exe», записывает его в реестр и выполняет код из файла «aut.png». В противном случае запускается файл «view.png», и его содержимое внедряется в процесс «colorcpl.exe».
ValleyRAT, развёртываемый с помощью PNGPlug, является сложным вредоносным ПО, приписываемым группе Silver Fox. Этот инструмент включает многоуровневые механизмы выполнения, такие как запуск shell-кода в памяти, привилегированное выполнение и постоянное присутствие в системе через реестр и задачи планировщика.
Анализ показывает, что в ходе атак применяется широкий спектр тактик: фишинговые сайты, маскировка вредоносных файлов под легитимные программы и использование бесплатного ПО, которым зачастую вынуждены пользоваться сотрудники из-за нехватки корпоративных инструментов.
APT-группировка Silver Fox специализируется на шпионских операциях, направленных на китаеязычные организации, включая использование ValleyRAT и Gh0st RAT для сбора данных, мониторинга активности и доставки дополнительных модулей. Кампания отличается акцентом на единую языковую аудиторию, что подчёркивает её масштаб и стратегическую цель. Отсутствие инвестиций в кибербезопасность на стороне жертв увеличивает их уязвимость к таким атакам.
Применение модульного загрузчика PNGPlug позволяет злоумышленникам адаптировать угрозу для различных кампаний, что делает её особенно опасной. Эти события демонстрируют необходимость внедрения продвинутых методов обнаружения и защиты от постоянно меняющихся угроз.
Исследователи из Intezer Labs выявили серию кибератак, нацеленных на организации в китаеязычных регионах, включая Гонконг, Тайвань и материковый Китай. В ходе этих атак используется многоэтапный загрузчик PNGPlug для доставки вредоносного ПО ValleyRAT.
Атака начинается с фишинговой страницы, убеждающей жертву скачать вредоносный MSI-файл, маскирующийся под легитимное программное обеспечение. После запуска этот файл выполняет две задачи: устанавливает безвредное приложение для создания иллюзии легитимности и извлекает зашифрованный архив с вредоносными компонентами.
MSI-файл использует функцию Windows Installer CustomAction для выполнения вредоносного кода. Зашифрованный архив «all.zip» расшифровывается с использованием встроенного пароля «hello202411». Среди основных компонентов — «libcef.dll» (загрузчик), «down.exe» (легитимное приложение) и файлы «aut.png» и «view.png», которые замаскированы под изображения, однако содержат в себе вредоносные данные.
Задача загрузчика «libcef.dll» заключается в подготовке среды для выполнения вредоносного ПО. Он вносит изменения в системный файл «ntdll.dll» для внедрения данных в память и анализирует параметры командной строки. Если обнаруживается параметр «/aut», загрузчик извлекает путь к файлу «down.exe», записывает его в реестр и выполняет код из файла «aut.png». В противном случае запускается файл «view.png», и его содержимое внедряется в процесс «colorcpl.exe».
ValleyRAT, развёртываемый с помощью PNGPlug, является сложным вредоносным ПО, приписываемым группе Silver Fox. Этот инструмент включает многоуровневые механизмы выполнения, такие как запуск shell-кода в памяти, привилегированное выполнение и постоянное присутствие в системе через реестр и задачи планировщика.
Анализ показывает, что в ходе атак применяется широкий спектр тактик: фишинговые сайты, маскировка вредоносных файлов под легитимные программы и использование бесплатного ПО, которым зачастую вынуждены пользоваться сотрудники из-за нехватки корпоративных инструментов.
APT-группировка Silver Fox специализируется на шпионских операциях, направленных на китаеязычные организации, включая использование ValleyRAT и Gh0st RAT для сбора данных, мониторинга активности и доставки дополнительных модулей. Кампания отличается акцентом на единую языковую аудиторию, что подчёркивает её масштаб и стратегическую цель. Отсутствие инвестиций в кибербезопасность на стороне жертв увеличивает их уязвимость к таким атакам.
Применение модульного загрузчика PNGPlug позволяет злоумышленникам адаптировать угрозу для различных кампаний, что делает её особенно опасной. Эти события демонстрируют необходимость внедрения продвинутых методов обнаружения и защиты от постоянно меняющихся угроз.