Как группа Silver Fox использует .NET-объекты для удаленного контроля

Китайский центр интернет-разведки Hillstone Networks провел анализ методов кибератак, используемых китайской хакерской группировкой Silver Fox. Группа применяет фишинг для манипуляции жертвами, заставляя их открывать поддельные документы, которые загружают вредоносные программы, в конечном итоге устанавливая модифицированный троян Ghost для удаленного управления компьютерами жертв.

Анализ показал, что Silver Fox вероятно использовала открытый инструмент GadgetToJScript для преобразования .NET-библиотек в JavaScript, что позволяет загружать вредоносные .NET DLL-файлы разных архитектур. Процесс начинается с использования специального скрипта JavaScript, встроенного в CHM-документы (Microsoft Compiled HTML Help), который загружает и активирует вредоносные .NET-объекты, обходя защитные механизмы Windows.

Продвинутый анализ выявил, что Silver Fox использует сложные методы для обхода систем защиты и незаметного выполнения вредоносных программ, таких как модификация системных настроек, удаление антивирусного ПО и регистрация нажатий клавиш.

Эксперты Hillstone Networks рекомендуют пользователям использовать брандмауэры и системы защиты от сетевых целенаправленных атак (Network Intrusion Prevention System, NIPS) для повышения кибербезопасности. Также подчеркивается важность регулярного обновления баз данных угроз для обеспечения защиты от последних угроз.