Чёрная дыра доверия: как Silver Fox использует SEO-отравление для массовых атак

Группа Silver Fox, также известная как SwimSnake или Void Arachne, классифицируется как APT (продвинутая постоянная угроза). Её активность нацелена в первую очередь на китайскоязычных пользователей и организации в Китае. Однако география жертв включает также страны Азиатско-Тихоокеанского региона, Европы и Северной Америки. Мотивы группировки варьируются от шпионажа до финансовой выгоды.

Основным методом начального доступа является социальная инженерия. В частности, Silver Fox применяет SEO-отравление, чтобы поддельные сайты с вредоносным ПО занимали высокие позиции в результатах поиска. Жертвам предлагаются троянизированные установщики как минимум 20 широко используемых программ. В их числе коммуникационные инструменты, VPN и офисные приложения, такие как Microsoft Teams, Telegram, Signal, WPS Office и OpenVPN.

Анализ показал, что все исследованные образцы доставляют вредоносное ПО, соответствующее поведению ValleyRAT. Это модульный троян для удалённого доступа, ранее уже связываемый с Silver Fox. Поддерживающая инфраструктура кампании размещена в Азии и использует облачные сервисы, включая Alibaba Cloud и Tencent Cloud.

Особый интерес представляет обнаруженная панель управления по адресу ssl3[.]space. Она была полностью открыта и не требовала авторизации. Интерфейс на китайском языке позволял операторам отслеживать статистику по кликам на ссылки для загрузки. Панель показывала количество кликов в день и за всё время, а также детальную информацию о жертвах. В данных фигурировали IP-адрес, географическое местоположение и точное время события.

Изучение этой панели позволило исследователям выявить полный список имитируемых приложений. Кроме того, данные подтвердили, что основная масса инфицированных устройств находится в материковом Китае. За одну неделю наблюдений было зафиксировано 217 кликов из КНР. Для сравнения, из США поступило 39 кликов, а из Гонконга - 29.

Важным аспектом кампании является использование ложных флагов. Silver Fox намеренно оставляет следы, указывающие на русскоязычных злоумышленников. Например, в именах некоторых вредоносных файлов используются кириллические символы. Эта тактика призвана запутать исследователей и усложнить атрибуцию атак.

Технический анализ одного из образцов, маскирующегося под программу удалённого доступа ToDesk, показал типичную цепочку выполнения. Установщик на основе NSIS распаковывает свои компоненты во временную директорию. Затем он расшифровывает и запускает дополнительные файлы, включая библиотеку DLL. В конечном итоге устанавливается связь с командным сервером для получения основного полезного груза (payload) - трояна ValleyRAT.

Исследование подтверждает более ранние отраслевые оценки. Организации с китайскоязычными сотрудниками или операциями в Китае, независимо от сектора, подвержены повышенному риску от этой кампании. Эксперты рекомендуют усиливать осведомлённость пользователей об угрозах социальной инженерии. Кроме того, критически важно проверять источники загрузки программного обеспечения, даже если они находятся на высоких позициях в поисковых системах.

IPv4

• 118.107.43.131
• 118.107.43.141
• 118.107.43.166
• 118.107.43.230
• 118.107.43.248
• 118.107.43.249
• 134.122.128.183
• 134.122.128.191
• 134.122.128.194
• 137.220.152.155
• 137.220.152.199
• 137.220.153.147
• 137.220.153.158
• 137.220.153.37
• 137.220.153.42
• 137.220.155.134
• 137.220.155.141
• 137.220.155.142
• 137.220.155.16
• 137.220.155.180
• 137.220.155.39
• 143.92.63.147
• 143.92.63.167
• 143.92.63.190
• 154.86.19.12
• 154.86.19.166
• 154.86.19.17
• 154.86.19.177
• 154.86.19.80
• 154.86.19.89
• 192.253.229.104
• 192.253.229.50
• 202.79.173.139
• 202.79.173.155
• 202.79.173.194
• 202.79.173.44
• 202.79.173.57
• 202.79.173.70
• 202.95.16.100
• 202.95.16.101
• 202.95.16.102
• 27.124.43.12
• 27.124.43.4
• 27.124.43.7
• 43.226.125.112
• 43.226.125.124
• 43.226.125.125
• 47.239.240.30

Domains

• 3tiao.org
• aisi-i4.com
• cdnfile0814-1366946264.cos.ap-tokyo.myqcloud.com
• ch-safew.com
• cn-safew.com
• cn-sigua.com
• dfsdg44f5r.s3.us-east-005.backblazeb2.com
• fantalks.cc
• fantalks88.cc
• ivcduidnxudhwiucn.org
• khjxvc.top
• letsvpn-kl.org
• letsvpnm.com
• myyonline2.oss-cn-hongkong.aliyuncs.com
• officeline1.oss-cn-hongkong.aliyuncs.com
• orayy.com
• oryz.com
• paopaoim.org
• potato-im.org
• safew.love
• safew.zip
• safew-hk.com
• safew-web.org
• safew-zhe.com
• shurufa-sougou.org
• sigua.im
• sigua.io
• sigua.tw
• sigua-cn.icu
• sigua-zq.com
• snipaste.naifeiplus.com
• snipaste.net
• snipaste-cn.com
• snipastesec.com
• snipastesis.com
• ssl3.space
• sunlogin-orayc.com
• telegramdld.com
• telegramk.org
• todesk.app
• vpm-kl.com
• wps-excel.org
• xinjuiogh.oss-cn-hongkong.aliyuncs.com
• youdao-fy.org
• youline3.oss-cn-hongkong.aliyuncs.com
• zh.snipaste.com
• zh-signal.com
• zh-snipaste.com

SHA256

• 18a80813682b7ccc7428ab56e8c882ebeba94ae43df8993bd46c541d77fde56f
• 3aa43350f17fb366174c77894a893d4e8d24c3b0f302190c16c2f62d5ab890b4
• 3c7ef5d15d9b5429cd615900e2e50235db3badff75f6b66afa32dabd5167be15
• 3fb0fb8ec636e8ee47ad3b48827a5ffd9af39f0442bd5dd98ae9f659e3d65309
• 40d69efcf04bb00c4411c1b8920bc35968e6b903f4f60c04b4e881e482672031
• 5ee4e4c8fcc00ea45aec5dda8cba27c090d115e287b4784867e3ce6d21239466
• 6ce6d863e55e2dfab3191e946b0449851d5a70bb118ca769c8c49c9793af42d0
• 822097f90504a419dd3e10ef91308f83606f4a6c80c95b7be786fe90a01e620c
• ada97bc3f0c142f50f006e19bf7e1d5fc25089334c782f4de0979bb0a9da7e35
• ae06a11574062a89ecdd7ee4293e0e4a4082d173866cf68c661ffc3f770c241c
• bd0ef6fbc7188c9434111e071751a244b79ea3ff9eac558d60b5d28ee480d87f
• bd5a0f1715ebe8c6d3d3d2d6ea31b7e84cc9c6021610509292648fca2e942d7b
• be62dc844ab234da9a29c6ba05aad1f323d30d163dd88002ac22a26508421435
• f521e9a5cc0ab97b5b797e31bafdfe642aca95b4f8186ac6eb565d0395b0c430

• black-hole-of-trust-seo-poisoning-in-silver-fox-s-space-odyssey.pdf