Команда исследователей кибербезопасности Huorong в ходе рутинной работы по отслеживанию угроз обнаружила, что хакерская группировка, известная как Silver Fox (APT, угроза постоянной продвинутой атаки), предположительно проводит целенаправленные кампании по заражению представителей так называемого "чёрно-серого" рынка (нелегальная и полулегальная деятельность в интернете, включая мошенничество и спам). Открытие было сделано в процессе анализа бэкдора (backdoor, "чёрный ход"), обнаруженного в одном из образцов вредоносного ПО.
Описание
Проследив за доменным именем удалённого сервера управления (C&C-сервера), использованного в атаке, специалисты наткнулись на сайт с уязвимостью, позволяющей войти в систему с использованием стандартных или слабых паролей. После успешного входа стало очевидно, что ресурс позиционирует себя как мультисервисная платформа для теневого бизнеса. На его панели управления были представлены модули с названиями, указывающими на криминальную направленность: приём SMS-сообщений, организация "SMS-бомбардировок", инструменты для парсинга данных, графические редакторы, маркетинг в Telegram, услуги на базе искусственного интеллекта по изменению голоса и внешности, а также доступ к данным коммерческих реестров.
Все эти функции, по мнению аналитиков, потенциально могут применяться для мошенничества, спама и других противоправных действий. Простота регистрации на платформе также косвенно подтверждала её ориентацию на неискушённую в вопросах кибербезопасности аудиторию. Однако дальнейшее исследование показало, что все заявленные на сайте возможности оказались "пустышками" - они не работали. Вместо этого, при попытке воспользоваться любой функцией, пользователю показывалось сообщение о необходимости обновить устаревший плагин Adobe Flash.
Нажатие на кнопку "Немедленное обновление" вело к скачиванию архива Flash.zip. Внутри архива находился исполняемый файл, содержащий бэкдор Silver Fox. Запуск этого файла приводил к внедрению вредоносной программыи установлению полного контроля над системой жертвы. Исследователи также обнаружили второй, практически идентичный сайт с похожей схемой обмана. Разница заключалась лишь в технической реализации - на втором сайте учётные данные были встроены прямо в JavaScript-файл. Однако финальная цель была той же: заманить пользователя на загрузку фальшивого обновления Flash, которое на самом деле являлось вредоносной нагрузкой (payload).
Проведённый анализ свидетельствует о расширении тактики и целевой аудитории группировки Silver Fox. Если ранее их основными целями были государственные учреждения, компании, медицинские организации и обычные пользователи, то теперь в фокусе оказались и операторы чёрного рынка. Группировка маскирует свои ресурсы под сервисы для киберпреступников, используя их жажду получить специализированные инструменты в качестве приманки. Ложное уведомление об обновлении Flash служит удобным предлогом для распространения вредоносного ПО.
Примечательно, что выбранная тактика может быть особенно эффективной именно из-за специфики целевой группы. Даже став жертвой взлома, представители теневого сектора, как правило, не могут обратиться в правоохранительные органы, что значительно снижает риск раскрытия атаки для злоумышленников. Это обеспечивает операции дополнительную скрытность.
Технический анализ загружаемых файлов выявил изощрённые методы обхода защиты. В одном случае использовалась техника "белое в чёрном" (white-box attack), где легитимный исполняемый файл служил для загрузки вредоносной библиотеки. Эта библиотека, в свою очередь, отвечала за расшифровку и выполнение вредоносного кода (shellcode), а также обеспечивала постоянное присутствие в системе (persistence) через внесение изменений в реестр Windows. Кроме того, в коде была обнаружена функция мониторинга буфера обмена: если в нём обнаруживался адрес кошелька криптовалюты Tron, он автоматически подменялся на адрес, принадлежащий злоумышленникам. Это могло привести к переводу средств на счёт хакеров при совершении транзакций.
В другом варианте атаки использовался самораспаковывающийся архив, который запускал вредоносные процессы без внешних зависимостей. Для маскировки после установки бэкдора показывался безобидный диалог об ошибке системы, чтобы не вызвать подозрений у жертвы. В этих файлах были найдены варианты бэкдоров Silver Fox, известные как Winos и Gh0st, подключающиеся к одним и тем же C&C-серверам.
В настоящее время продукты безопасности Huorong способны обнаруживать и блокировать описанные угрозы. Эксперты компании призывают пользователей проявлять крайнюю осторожность. Не следует доверять сомнительным онлайн-сервисам, предлагающим инструменты для нелегальной деятельности, - они могут быть ловушками. Также необходимо помнить, что технология Adobe Flash Player официально прекратила поддержку, и любые запросы на её обновление почти гарантированно являются мошенническими. Для защиты рекомендуется поддерживать антивирусное ПО в актуальном состоянии с включённым режимом реального времени. При малейших подозрениях на заражение следует немедленно выполнить полную проверку системы. Huorong продолжает мониторить активность группировки Silver Fox и обновлять сигнатуры для защиты своих пользователей.
Индикаторы компрометации
IPV4
- 103.119.3.160
- 156.247.41.106
SHA256
- 4d80720c8324d2eb1a26e2b17c46ec219536fcf7836abf674ed265be221bddb0
- 6f91570860a55b51062feb5343711b051482b0dd0f66b0d27b7274416b487694
- bb245e8659d71a9642c554baa78427c199d732d7240fc1d336668d621d08fe8a
- f35f8425bf0e7651d690dda76106e2661b844bb3634e3ce9f393f34b8c7c8ab5
