Счёт от бухгалтерии, PDF во вложении — ничего необычного, но ИБ-шник почему-то вспотел и схватился за голову
Ну кто же знал, что за логотипом налоговой скрывался троян с удалённым доступом?
В Тайване зафиксирована новая фишинговая кампания, за которой стоит активная APT -группа Silver Fox. Специалисты по информационной безопасности сообщили, что злоумышленники распространяют вредоносные программы семейства Gh0stCringe и HoldingHands RAT, маскируясь под государственные структуры и деловых партнёров. Основной вектор атаки — электронные письма с заманчивыми темами о налогах, счетах и пенсиях.
Первый всплеск активности этой кампании был замечен ещё в январе, когда в обращение поступила вредоносная платформа Winos 4.0. Тогда рассылка имитировала официальные уведомления от Национального налогового бюро Тайваня. В мае похожую активность зафиксировали специалисты Rapid7.
Сейчас же исследователи Fortinet выявили новые образцы вредоносного ПО, подтверждающие, что Silver Fox продолжает свои атаки, используя заражённые PDF-файлы и ZIP-архивы, рассылаемые через фишинговые письма.
В большинстве случаев документы содержат изображение , клик по которому инициирует загрузку ZIP-архива с вредоносным содержимым. Архив включает в себя как легитимные исполняемые файлы, так и загрузчики шелл-кода и зашифрованный вредоносный код. Вся структура заражения устроена в несколько этапов. На первом этапе загрузчик расшифровывает и исполняет DLL-файлы, маскируя вредоносное поведение под обычное поведение легитимного ПО. Используется приём DLL Sideloading , при котором вредоносная библиотека подгружается доверенным исполняемым файлом.
Промежуточные этапы атаки включают обход виртуальных сред, проверку на наличие средств анализа и использование механизмов повышения привилегий. Это позволяет вредоносному ПО избежать обнаружения и работать в полной мере на целевой системе.
Финальной стадией заражения становится выполнение файла под именем «msgDb.dat». Этот модуль организует связь с управляющим сервером, собирает сведения о жертве, а также может загружать дополнительные компоненты, включая средства для управления файлами и удалённого доступа к рабочему столу.
Fortinet также отмечает, что злоумышленники начали распространять Gh0stCringe через PDF-документы, ведущие на страницы загрузки HTM-документов, откуда пользователи подталкиваются к скачиванию заражённых архивов. По словам исследователей, структура этих атак насыщена множеством фрагментов шелл-кода и загрузчиков, что существенно усложняет анализ и отслеживание.
Gh0stCringe и HoldingHands являются модификациями известного трояна удалённого доступа Gh0st RAT , активно используемого хакерскими группами, связанными с Китаем. Последняя кампания Silver Fox APT подтверждает устойчивую тенденцию к технической эволюции и всё более изощрённым методам доставки вредоносного кода.