Специалисты платформы OneSEC компании "Микрошаг" (Weibu) в середине мая зафиксировали образец вредоносного ПО, относящийся к группировке Silver Fox. Данный образец стал первым публично задокументированным случаем использования ранее неизвестной техники, получившей название EDRChoker. Суть метода заключается в ограничении сетевой скорости для процессов систем класса EDR и антивирусного программного обеспечения до 10 бит в секунду. Такое ограничение делает невозможным нормальную передачу данных для облачных проверок, фактически "ослепляя" средства защиты.
Описание
На момент обнаружения (14 мая) эта техника не была описана в открытых источниках. Лишь 7 июня известный исследователь безопасности Zero Salarium опубликовал детали EDRChoker. Таким образом, разрыв между появлением новой техники в публичном поле и её практическим применением киберпреступниками сократился до отрицательного значения - Silver Fox начала использовать метод более чем за три недели до его публичного раскрытия. Аналитики "Микрошаг" отмечают, что ещё полтора года назад типичный временной интервал между публикацией новой техники и её эксплуатацией составлял более четырёх лет. Сейчас этот показатель не просто обнулился, а стал отрицательным.
Техника EDRChoker реализуется через встроенный механизм Windows - Policy-based QoS (Quality of Service). Вредоносная программа, написанная на Rust и основанная на коде открытого эмулятора терминала Alacritty, после проверки на наличие виртуальной среды и верификации даты (до апреля 2028 года) выполняет команды, устанавливающие политику ограничения трафика. Целевыми процессами выступают конкретные исполняемые файлы антивирусов и EDR-агентов, которые определяются в зависимости от конфигурации системы. Ограничение скорости до 10 бит/с практически полностью блокирует передачу данных, необходимых для облачного анализа и обновления сигнатур, но при этом не влияет на служебные "heartbeat"-пакеты, поддерживающие видимость Agent в панели управления SOC. Администратор не видит признаков отключения конечной точки, что обеспечивает высокую скрытность атаки.
Отличие от ранее массово применявшегося метода BYOVD (bring your own vulnerable driver - атака с использованием собственного уязвимого драйвера), при котором злоумышленники принудительно завершали процессы защиты через легитимные, но уязвимые драйверы, состоит в том, что EDRChoker не убивает процессы. Это снижает вероятность обнаружения аномалий в журналах событий.
Масштаб активности группировки Silver Fox, по данным анализа впечатляет. Злоумышленники зарегистрировали более 1 100 фишинговых доменов, имитирующих официальные сайты популярных приложений. Было создано 92 поддельные версии программ. По плотности распространения и близости копий к оригиналам эта кампания признана самой масштабной среди всех отслеживаемых угроз. Особое внимание уделено поисковой выдаче. Основной упор сделан на Bing, хотя также использовались Baidu и So360. Для фильтрации посетителей применяется специальный JavaScript-файл, проверяющий User-Agent, реферер и географическое положение. Система перенаправляет только тех пользователей, которые действительно перешли из поисковой выдачи, блокируя сканирование и доступ из нецелевых регионов. Внешне фишинговые страницы практически неотличимы от настоящих - они скопированы "один в один", без типичных признаков быстрой генерации через AI (vibe coding).
Процесс заражения многоступенчатый. Пользователь, попавший на поддельный сайт через поиск, скачивает архив с, казалось бы, легитимным установщиком. Внутри находится исполняемый файл, скомпилированный в мае 2026 года. Первым делом он создаёт мьютекс для предотвращения повторного запуска, а затем через множественное декодирование получает URL для загрузки вредоносной DLL-библиотеки, замаскированной под библиотеку обработки изображений FreeImage. После загрузки DLL из облачного хранилища Alibaba Cloud (Hong Kong) она выполняет вторую стадию - загружает исполняемый файл lspinst_x64.exe, который на самом деле является модифицированной версией эмулятора терминала Alacritty. Именно этот компонент применяет EDRChoker, а затем через "белый" легитимный файл с подписью загружает и запускает основную вредоносную нагрузку (так называемая техника "белого+чёрного"). Для закрепления используется задача планировщика Windows с именем StateRepositoryapp, настроенная на запуск каждые 10 минут с неограниченным сроком действия.
Последствия атаки включают полный контроль злоумышленников над заражённым устройством, возможность кражи данных, установки дополнительного ПО и перемещения внутри сети. Хотя прямая связь с программами-вымогателями не подтверждена, такая тактика часто предшествует развёртыванию шифровальщиков. Вывод, который следует из этого инцидента, - необходимо пересмотреть подходы к защите конечных точек, делая упор не только на сетевую аналитику, но и на локальное обнаружение аномального поведения процессов. Решения, интегрирующие поведенческий анализ и способные выявлять попытки снижения сетевой активности целевых процессов, становятся критически важными. "Микрошаг" сообщает, что их продукты OneSEC, облачная песочница S и платформа OneSandbox уже способны детектировать данные образцы и подобные техники.
Индикаторы компрометации
IPv4 Port Combinations
- 192.238.134.56:8080
- 192.238.134.56:8081
Domains
- cdn-chrome-google.com
- cdn-helloworld.com
- cdn-kook.com
- cdn-kuailian.com
- cdn-qianwen.com
- cdn-surfshark.com
- cdn-tencent.com.cn
- cdn-todesk.com
- cdn-youdao.com
- chrome-gtp.com
- e-feishu.com.cn
- feishu-web.com.cn
- go-web-chrome.com.cn
- ks-todesk.com.cn
- pc-kook.com.cn
- surfsharks.com.cn
- tm-tencent.com.cn