Silver Fox koristi Sainbox RAT i Hidden Rootkit

AUTOR ·

Sigurnosni istraživači kompanije Netskope su otkrili dokaze da Silver Fox koristi instalacionih paketa za popularne kineske aplikacije kao što su WPS Office, Sogou i DeepSeek, što predstavlja zabrinjavajući razvoj taktika društvenog inženjeringa. Ovi lažni fajlovi sadrže sofisticirane zlonamjerne komponente koje omogućavaju trajnu kompromitaciju sistema, istovremeno zadržavajući prikrivenost pomoću naprednih metoda izbjegavanja detekcije.

Silver Fox

Silver Fox koristi Sainbox RAT i Hidden Rootkit; Source: Microsoft Copilot: Your AI companion

KAMPANJA

Sigurnosni istraživači kompanije Netskope su nedavno otkrili složenu kampanju zlonamjernog softvera koja koristi popularnost alata vještačke inteligencije (eng. artificial intelligence – AI) za ciljanje korisnika koji govore kineski. Ovaj napad predstavlja zabrinjavajući evoluciju u taktikama društvenog inženjeringa, gdje zlonamjerni akteri kapitalizuju na novim tehnološkim trendovima kako bi povećali stopu uspeha svojih napada.

Zlonamjerna operacija koristi višestepeni proces infekcije koji počinje pažljivo kreiranim phishing internet stranicama koji imitiraju zvanične stranice za distribuciju softvera. Ove internet stranice su dizajnirani da izgledaju legitimno i pouzdano, što žrtvama otežava razlikovanje originalnih i lažnih instalacionih paketa. Zlonamjerni akteri su izabrali popularne kineske aplikacije kao što su WPS Office, Sogou i DeepSeek kao mamac, koristeći njihovu široku popularnost da navedu korisnike da preuzmu ono što izgleda kao legitiman instalacioni paket.

Lažni instalacioni paketi se prvenstveno distribuiraju kao MSI datoteke, koje sadrže sofisticirane korisne sadržaje (eng. payloads) dizajnirane da uspostave dugoročno kompromitovanje sistema, uz održavanje prikrivenosti kroz napredne tehnike izbjegavanja. Ove zlonamjerne komponente uključuju Sainbox RAT, varijantu ozloglašene porodice Gh0stRAT i izmijenjenu verziju skrivenog zlonamjernog softvera (eng. rootkit) otvorenog kôda Hidden. Sigurnosni istraživači su ove aktivnosti pripisali grupi Silver Fox sa srednjim nivoom pouzdanosti na osnovu taktičkih obrazaca, analize infrastrukture i preferencija ciljanja.

 

Raspakivanje mehanizma infekcije

Tehnička sofisticiranost napada postaje očigledna nakon ispitivanja njegovog mehanizma infekcije. Kada se izvrši, zlonamjerni MSI instalacioni paket izvodi obmanjujuću dvostruku operaciju, istovremeno instalirajući legitimni softver kako bi izbjegao sumnju korisnika, dok istovremeno raspoređuje svoj zlonamjerni korisni teret putem složene tehnike bočnog učitavanja. Ovaj proces uključuje kreiranje privremenog direktorijuma i izdvajanje potrebnih datoteka iz MSI paketa.

Zlonamjerni softver zatim koristi kombinaciju otmice DLL datoteke i manipulacije registrom da bi se ubrizgao u memorijski prostor sistema. Sainbox RAT posebno koristi napredne tehnike izbjegavanja kao što su zamagljivanje kôda i tehnike protiv analize grešaka (eng. anti-debugging) kako bi izbjegao otkrivanje od strane bezbjednosnog softvera. Ovaj nivo sofisticiranosti otežava braniocima da identifikuju i ublaže ovu prijetnju.

Korištenje modifikovane verzije skrivenog zlonamjernog softvera otvorenog kôda Hidden dodatno komplikuje proces infekcije. Ovaj zlonamjerni softver funkcioniše u modu jezgra sistema (eng. kernel) – dubljem nivou operativnog sistema – i dizajniran je da sakrije zlonamjerne aktivnosti od alata za nadgledanje sistema, što administratorima otežava otkrivanje sumnjivog ponašanja na kompromitovanim sistemima.

Ova kampanja ističe rastući značaj taktika društvenog inženjeringa u modernim prijetnjama po sajber bezbjednost. Korištenjem novih tehnoloških trendova kao što su automatski sagovornici zasnovani na vještačkoj inteligenciji (eng. AI chatbots), zlonamjerni akteri mogu da kreiraju ubjedljive phishing internet stranice koji imitiraju zvanične stranice za distribuciju softvera. Ovaj pristup kapitalizuje na povjerenju korisnika u legitimne aplikacije i njihovoj želji da budu u toku sa najnovijim tehnološkim dostignućima.

Upotreba lažnih instalacionih paketa za popularne kineske aplikacije poput WPS Office, Sogou i DeepSeek pokazuje jasno razumijevanje ponašanja i preferencija korisnika među zlonamjernim akterima. Ciljanjem na određene demografske grupe i iskorišćavanjem njihovih interesovanja, zlonamjerni akteri mogu povećati efikasnost svojih kampanja društvenog inženjeringa.

 

Uticaj

Korištenje Sainbox RAT i skrivenog zlonamjernog softvera Hidden od strane grupe Silver Fox ima značajne implikacije za pojedince i organizacije. Ovi zlonamjerni softveri pružaju zlonamjernim akterima potpunu kontrolu nad uređajem žrtve, omogućavajući im da preuzimaju i izvršavaju drugi zlonamjerni kôd, kradu osjetljive podatke i još mnogo toga. Činjenica da su ovi alati varijante dobro poznatih trojanaca za udaljeni pristup (eng. remote access trojans – RAT) poput Gh0stRAT i skrivenog zlonamjernog softvera Hidden znači da ih zlonamjerni akter može lako prilagoditi i ažurirati.

Korištenje phishing internet stranica kao mehanizma za isporuku Sainbox RAT zlonamjernog softvera je posebno zabrinjavajuće. Ove internet stranice često djeluju legitimno, što korisnicima otežava razlikovanje originalnog i zlonamjernog sadržaja. Jednom kada se inficiraju, žrtve možda čak ni ne shvataju da je njihov uređaj ugrožen dok već nije načinjena značajna šteta. Ovo ističe važnost robusnih mjera sajber bezbjednosti, uključujući redovna ažuriranja softvera, jake lozinke i budno praćenje.

Osim toga, činjenica da Silver Fox koristi ove alate na ciljani način protiv korisnika Windows operativnog sistema koji govore kineski jezik sugeriše nivo sofisticiranosti i planiranja od strane zlonamjernog aktera. Ovo bi moglo ukazivati na veću kampanju usmjerenu na određene industrije ili zajednice, što čini neophodnim da organizacije budu svjesne potencijalnih prijetnji i preduzmu proaktivne mjere kako bi se zaštitile.

 

SILVER FOX

Silver Fox je napredna trajna prijetnja (eng. advanced persistent threat – APT) sa sjedištem u Kini, poznata i pod pseudonimima Void Arachne i The Great Thief of Valley. Prvobitno nastala u junu 2024. godine, Silver Fox grupa zlonamjernih aktera se u početku fokusirala na sprovođenje sajber špijunaže protiv kineskih žrtava putem trovanja optimizacije pretraživača (search engine optimization – SEO poisoning), društvenih medija i napada zasnovanih na tekstualnim porukama, često prikrivenih kao VPN softver i aplikacije vještačke inteligencije, gdje je korišten ValleyRAT zlonamjerni softver.

Od svog nastanka, grupa je bila veoma aktivna, a taktike su se vremenom razvijale i sada ciljaju širi spektar organizacija u različitim sektorima, uključujući finansije, prodaju, menadžment i računovodstvo, prvenstveno u svrhu krađe podataka, bez učešća u aktivnostima iznude. Sumnja se da Silver Fox sponzoriše država, iako neki izvori sugerišu da bi se mogla maskirati kao finansijski motivisani zlonamjerni akteri s obzirom na njen nedavni pomak ka ciljanju vladinih entiteta i kompanija za sajber bezbjednost sa primarnim ciljem krađe osjetljivih informacija kroz kombinaciju taktika društvenog inženjeringa i raspoređivanja zlonamjernog softvera, često koristeći kompromitovane platforme u svrhu distribucije.

 

ZAKLJUČAK

Korištenje trojanaca za udaljeni pristup Sainbox RAT i skrivenog zlonamjernog softvera Hidden od strane grupe Silver Fox predstavlja proračunatu eskalaciju njihovih sajber operacija. Ovaj razvoj događaja naglašava evoluirajuću prirodu taktika, tehnika i procedura zlonamjernih aktera. Kombinovanje komercijalnog zlonamjernog softvera sa prilagođenim skrivenim zlonamjernim softverom na nivou jezgra sistema omogućava napredne mehanizme za očuvanje prisutnosti u sistemu, čineći otkrivanje i sprečavanje takvih napada sve težim.

Korištenje phishing internet lokacija sa temom vještačke inteligencije kao mamca dodatno ističe prilagodljivost grupe Silver Fox u iskorišćavanju trendova u nastajanju tehnologije. Ovaj pristup koristi radoznalost korisnika da zaobiđe tradicionalne bezbjednosne kontrole, čime olakšava uspješnu isporuku korisnog tereta. Rezultujući kompromis daje zlonamjernim akterima neograničen pristup sistemima žrtve, omogućavajući opsežnu ekstrakciju podataka i bočno kretanje.

Mogućnosti trojanaca za udaljeni pristup Sainbox RAT za preuzimanje i izvršavanje dodatnih korisnih tereta pojačavaju potencijalni uticaj ovih napada. Štaviše, sposobnost skrivenog zlonamjernog softvera Hidden da prikrije zlonamjerne aktivnosti od bezbjednosnog softvera pogoršava teškoće u otkrivanju i reagovanju na incidente. Ova sinergija između komponenti zlonamjernog softvera naglašava potrebu za poboljšanom razmjenom obavještajnih podataka o prijetnjama među zainteresovanim stranama.

Korištenje instalacionih paketa popularnih softvera od strane grupe Silver Fox kao vektora za raspoređivanje zlonamjernog softvera služi kao upozoravajući primjer kako zlonamjerni akteri mogu da zloupotrebe povjerenje korisnika u nove tehnologije. Ovaj razvoj događaja zahteva ponovnu procjenu postojećih bezbjednosnih kontrola i protokola za reagovanje na incidente kako bi se odgovorilo na evoluirajuću prirodu sajber prijetnji.

 

ZAŠTITA

Evo nekoliko preporuka kako se zaštiti od Silver Fox grupe zlonamjernih aktera i sličnih prijetnji:

  1. Redovno se informisati o novim tehnološkim trendovima i potencijalnim bezbjednosnim rizicima povezanim sa njima. Ovo će omogućiti donošenje informisanih odluka kada je u pitanju preuzimanje ili korištenje softvera;
  2. Provjeriti autentičnost bilo kog softvera povezanog sa vještačkom inteligencijom prije preuzimanja, posebno ako je od manje poznatog programera. Provjeriti recenzije, ocjene i zvanične internet stranice kako bi se osigurala legitimnost;
  3. Primjenjivati oprez prema sumnjivoj elektronskoj pošti ili porukama koje podstiču na preuzimanje softvera ili posjetu nepoznatim internet lokacijama. Legitimni programeri obično ne traže od korisnika da direktno preuzimaju softver putem elektronske pošte;
  4. Koristiti renomirane izvore prilikom preuzimanja alata povezanih sa vještačkom inteligencijom. Dražiti se dobro poznatih i pouzdanih platformi, kao što su zvanične internet stranice programera ili prodavnice aplikacija;
  5. Uvjeriti se da je u upotrebi najnovija verzija operativnog sistema, koja često uključuje bezbjednosne ispravke za zaštitu od poznatih ranjivosti koje iskorištavaju zlonamjerni akteri poput Silver Fox grupe zlonamjernih aktera;
  6. Implementirati robustan antivirusni softver sposoban da detektuje i ukloni napredne prijetnje. Redovno ažurirati ovaj softver kako bi se osiguralo da može da prepozna nove prijetnje;
  7. Implementirati jake lozinke i koristiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće kako bi se spriječio neovlašteni pristup nalozima i sistemima;
  8. Redovno pravite rezervne kopije važnih datoteka i sistemskih konfiguracija kako bi se osiguralo da čak i ako zlonamjerni softver ugrozi primarnu memoriju, postoji mogućnost oporavka iz čiste rezervne kopije;
  9. Implementirajte segmentaciju mreže odvajanjem osjetljivih dijelova mreže u izolovane segmente sa ograničenim kontrolama pristupa kako bi se ograničila potencijala šteta u slučaju napada;
  10. Vršiti periodične procjene sistemskih konfiguracija i instalacija softvera kako bi se identifikovale sve ranjivosti ili sumnjive aktivnosti koje bi mogle omogućiti prisustvo zlonamjernog softvera;
  11. Primjenjivati oprez u vezi sa taktikama društvenog inženjeringa, jer zlonamjerni akteri često koriste psihološku manipulaciju, a ne tehničke eksploatacije, kako bi dobili pristup sistemima. Primjenjivati oprez prilikom komunikacije sa nepoznatim osobama, posebno onima koji tvrde da su iz renomiranih organizacija, ali pokazuju neobično ponašanje;
  12. Implementirati robustan plan odgovora na sajber prijetnju u slučaju napada ili sumnje na prisustvo zlonamjernog softvera u sistemu. Ovo bi trebalo da uključuje procedure za obuzdavanje, iskorjenjivanje, oporavak i aktivnosti nakon incidenta, kao što su pregled bezbjednosnih politika i ažuriranje programa obuke;
  13. Obezbijediti kontinuiranu obuku za korisnike o najboljim praksama sajber bezbjednosti, posebno kada je riječ o novim tehnologijama poput alata vještačke inteligencije koji mogu biti meta budućih napada;
  14. Razmisliti o implementaciji bezbjednosnog rješenja zasnovanog na oblaku za dodatnu zaštitu od novih prijetnji, posebno kada su u pitanju alati vještačke inteligencije ili druge tehnologije gdje zlonamjerni akteri mogu ciljati određene ranjivosti;
  15. Redovno pregledati i ažurirati politike sajber bezbjednosti kao bi se osiguralo da su one usklađene sa trenutnim najboljim praksama i da uzimaju u obzir evoluirajući pejzaž prijetnji povezanih sa novim tehnologijama poput alata vještačke inteligencije koji su ciljani u kampanjama zlonamjernog softvera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.