Центр реагирования на инциденты безопасности зафиксировал появление новой модификации троянской программы, известной как Silver Fox. Этот вариант сохраняет прежние цели атаки, но получил значительные технические усовершенствования. Зловред распространяется через поддельные сайты популярного программного обеспечения, например, имитируя официальный ресурс для загрузки браузера Chrome. После первоначального проникновения он использует комплекс продвинутых методов для уклонения от обнаружения: многоэтапное создание файлов, технику «белое-черное» (Living-off-the-Land), намеренное увеличение объема DLL-файлов. Финальная цель - расшифровка и загрузка шеллкода в память, установление соединения с удаленным командным сервером (C2, Command and Control) и реализация полного функционала троянца.
Описание
Атака начинается с того, что пользователь, пытаясь скачать браузер, попадает на фишинговый сайт и загружает вредоносный установщик. После запуска вредоносная программа немедленно создает в временном каталоге %temp% сложную структуру подкаталогов и временных файлов. Например, она может создавать файлы с именами вроде "UIOPPSM_Win7-11_x64_Riunhormmepc-v58254.22642.tmp" внутри директории "is-RSUNG.tmp". Затем основной процесс создает новый процесс для выполнения этого файла, переходя ко второй стадии, после чего завершает свою работу. Такой метод многоэтапного создания файлов и переключения между процессами призван затруднить отслеживание действий для аналитиков безопасности и повысить сложность детектирования.
На втором этапе вредоносное программное обеспечение создает множество файлов. Критически важно, что среди них оказываются пять легитимных программ с валидными цифровыми подписями, таких как "360SysVulTerminator.exe" или "Chrome_安装包.exe". Эта стратегия смешивания законного и вредоносного кода является классической тактикой «белое-черное». Она использует доверенные «белые» файлы, чтобы скрыть активность вредоносных «черных» компонентов, что позволяет обходить системы безопасности, полагающиеся на проверку репутации или цифровых подписей.
Ключевыми вредоносными компонентами на этой стадии являются загрузчик шеллкода "0710.exe" и зашифрованный шеллкод "unins000.dat". Когда выполняется "0710.exe", он считывает "unins000.dat" в оперативную память, расшифровывает финальный шеллкод и создает поток для его исполнения. Такая технология загрузки в память позволяет избежать сохранения вредоносного файла на диск, что значительно повышает скрытность атаки.
Третий этап включает в себя расшифрованный шеллкод, который, в свою очередь, размещает в каталоге ProgramData еще одну «бело-черную» связку. В ней "QMUpload.exe" представляет собой «белый» файл с легитимной подписью, а "QMStuck.dll" - вредоносную динамическую библиотеку, обработанную методом «инфляции DLL». Под этим термином подразумевается наполнение вредоносного кода большим объемом бесполезного или обфусцированного кода, что увеличивает размер файла и затрудняет его обнаружение с помощью статического сканирования по сигнатурам.
Далее вредоносная программа пытается отключить механизмы защиты. Например, она использует команды PowerShell, чтобы добавить исключения в сканирование Защитником Windows. В конечном счете, когда выполняется «белый» файл "QMUpload.exe", он загружает вредоносный "QMStuck.dll". Эта библиотека исполняет финальную вредоносную нагрузку (payload) непосредственно в памяти, устанавливает соединение с C2-серверами по адресам 23.133.4[.]25:27978 и 15.197.64[.]127:443, завершая тем самым развертывание троянца для удаленного управления.
Хэш-сумма одного из анализируемых образцов: 8c53aab5d025a82ad83705f4f0c9071a1e5810fe. Данный вариант демонстрирует интеграцию нескольких высокоэффективных техник уклонения от обнаружения. Техника «белое-черное» позволяет использовать программы с легальными цифровыми подписями для загрузки вредоносных DLL, обходя статические проверки безопасности. Многоэтапное создание файлов и загрузка в память помогают избежать детектирования, основанного на анализе файлов на диске. Инфляция DLL и обфускация кода увеличивают сложность обратного инжиниринга и противодействуют сканированию по статическим сигнатурам. Кроме того, злоумышленники злоупотребляют легитимными системными инструментами, такими как PowerShell, для выполнения враждебных действий. Это позволяет их активности сливаться с обычными системными процессами, затрудняя обнаружение.
Постоянная эволюция вариантов Silver Fox в области методов маскировки и сложности атак указывает на растущий уровень профессионализма киберпреступников. Комбинированное использование различных технологий значительно повышает скрытность угрозы, создавая серьезные проблемы для систем защиты, полагающихся на традиционные сигнатурные методы обнаружения. Против подобных сложных угроз организациям необходима многоуровневая стратегия защиты. Она должна сочетать технологические решения, обучение сотрудников и выверенные управленческие процессы для системного снижения рисков и обеспечения информационной безопасности.
Эксперты дают ряд универсальных рекомендаций по противодействию подобным угрозам. Необходимо развертывать комплексные решения безопасности с элементами искусственного интеллекта и обеспечить их регулярное обновление. Следует поддерживать операционные системы и распространенное программное обеспечение в актуальном состоянии, оперативно устанавливая патчи для критических уязвимостей. Важно избегать перехода по ссылкам и открытия вложений из непроверенных писем. Загружать программы рекомендуется только с официальных сайтов разработчиков. Необходимо использовать стойкие пароли, отказаться от слабых комбинаций и регулярно их менять. Также по возможности стоит закрывать неиспользуемые сетевые порты и отключать ненужные общие ресурсы.
Индикаторы компрометации
IPv4 Port Combinations
- 15.197.64.127:443
- 23.133.4.25:27978
SHA1
- 8c53aab5d025a82ad83705f4f0c9071a1e5810fe
