Группировка SwimSnake, также известная как SilverFox, продолжает совершенствовать свои методы атак, сочетая многоуровневое шифрование вредоносной нагрузки и драйверы для обхода антивирусного обнаружения. Специалисты Antian CERT зафиксировали две основные тактики, демонстрирующие высокий уровень технической подготовки злоумышленников.
Описание
Первый метод включает сложную цепочку дешифрования, где различные компоненты последовательно расшифровывают финальную нагрузку. Ключевой особенностью стало использование 80 зашифрованных C2-адресов, что обеспечивает устойчивость инфраструктуры. Компоненты координируют работу через механизм разделения обязанностей, что затрудняет анализ.
Второй подход использует набор драйверов для противодействия системам безопасности. Эти драйверы выполняют несколько функций: ослепление EDR-систем, завершение процессов продуктов безопаности, сокрытие сетевых соединений. Финальная стадия атаки реализуется через технику "белое-черное", когда легитимный процесс загружает вредоносную библиотеку, выполняющую вариант Winos RAT.
Группировка Swim Snake преимущественно ориентируется на китайских пользователей, используя разнообразные векторы первоначального доступа. В 2022 году наблюдались кампании через поддельные сайты загрузки, SEO-отравление поисковых систем и фишинговые рассылки. После компрометации злоумышленники применяют мессенджеры для дальнейшего распространения, включая WeChat и корпоративные версии платформы.
Основной мотив группировки - финансовое мошенничество через создание поддельных групп в мессенджерах. Одновременно реализован функционал кражи данных, что позволяет дополнительно монетизировать атаки. Важной характеристикой стала быстрая итерация методов обхода защиты и большое количество вариантов вредоносных файлов.
Эксперты предполагают, что Swim Snake работает по модели Fraud-as-a-Service, предлагая инструменты и инфраструктуру другим преступным группам. Эта бизнес-модель значительно снижает входной порог для организации кибератак.
Технический анализ показывает использование многоэтапного шифрования. Начальный файл, маскирующийся под установщик Youdao Translate, выполняет VBS-скрипт, который через WMI определяет наличие продуктов безопаности. В зависимости от окружения выбирается соответствующий компонент атаки.
Процесс дешифрования включает несколько стадий. Первый DLL-файл обрабатывает зашифрованные данные, используя комбинацию арифметических и логических операций. Затем второй компонент выполняет PE-парсинг и загружает промежуточную нагрузку, которая, в свою очередь, расшифровывает основной RAT.
Особенностью стал механизм выбора C2-серверов. Конфигурационный файл содержит идентификатор, определяющий, какой из 80 адресов будет использован. Каждый адрес дополнительно зашифрован с применением Base64 и кастомных алгоритмов.
Коммуникация троянца защищена многоуровневым шифрованием. Собранные системные данные сжимаются через Zlib, затем шифруются RC4 с статическим ключом. В реализован плагинный механизм, позволяющий динамически расширять функциональность.
Драйверные компоненты демонстрируют высокую сложность. Используется техника BYOVD, когда уязвимые, но подписанные драйверы легитного ПО применяются для вредоносных операций. Реализовано скрытие процессов через модификацию системных вызовов ядра и маскировка сетевой активности.
Угроза со стороны группировки Swim Snake продолжает эволюционировать, демонстрируя профессиональный подход к разработке вредоносного ПО. Сочетание технической изощренности и криминальной бизнес-модели делает эту группировку серьезным игроком на киберпреступной арене.
Индикаторы компрометации
IPv4 Port Combinations
- 154.86.0.40:443
Domain Port Combinations
- ydbao6.cyou:9000
URLs
- https://pub-3d7ecf8d8ed94374b9fb10d61138bd72.r2.dev/Wjfrpsl.zip
- https://www.bg-wps.com
MD5
- 04264646287bb028ad5280cf4da39358
- 0462f77ae086e8cdc48f9a21758fd67e
- 05946b9848551eb738c9fdf748af0ff2
- 07c8b3bf5ef18bdd646980f765de0fc6
- 08cfaac200ed8052a63020f115c6a75a
- 0c9b34b15361b87b738dc06fc4194086
- 0d7d0cf8a31422cd9a88fa90ad7560eb
- 0d9b54b8bfe67ce90a98102d763345f9
- 18a4dff46a1bae8e317a999a1837f8f2
- 1c993a7b64d9e7c3379ab8849d6f17d4
- 212fc4b489c15436de3e34ac96e1207b
- 234ccbcb8460721aa990a350d2237036
- 42ddb89706155089a04b9eba5e661516
- 5231a08c5286803e300ac657e37272f8
- 5b81e82e3c4594d82085f6a0e0563a07
- 893edfa3a3a71d71ca670424e554e04c
- 8a7442439ef37055d790a724ba48bee0
- 8dc9c86cf33fc0cbc20cfd3cb6f5d3a3
- b6ede7ecbb980723ec43c7b1bde059b9
- c2a1e8510738ddf23b839eef223f7bec
- c416a4664a84a5bd4f8f032472e56cdd
- da0d77e9ac7a60f67d55256e55307713
- ddb9a28b72098ee0ec2308d90f2e0334
- e059cf1f9169302a0ff91b0061da1c14
- e4234abffc87519afac9705ca73b7c30
