Группировка Silver Fox усиливает тактики уклонения и внедряет механизмы "черного" перехвата

В новой атаке Silver Fox демонстрирует изощренную тактику адаптивного уклонения, выбирая различные стратегии выполнения в зависимости от обнаруженного на целевой системе программного обеспечения безопасности. Это позволяет достичь максимальной эффективности в обходе защитных механизмов.

При отсутствии определенных средств защиты злоумышленники запускают два замаскированных процесса svchost, внедряя в них вредоносный код для создания дублирующих процессов-хранителей и установления связи с командным сервером (C2). Если же система использует встроенный защитник Windows Defender, применяется инструмент no-defender, использующий недокументированные интерфейсы для принудительного отключения службы перед инициацией C2-активности.

Наиболее интересное изменение касается систем с установленным Tencent PC Manager и аналогичными продуктами. Вместо агрессивного противостояния, наблюдавшегося ранее, новая ветка Silver Fox выбирает тактику скрытного развития. Она минимизирует инъекции в svchost, выполняя Shellcode непосредственно в собственном загрузчике с помощью функций операций с памятью NT, чтобы избежать обнаружения механизмами R3 Inline Hook. Кроме того, добавляется этап использования легитимного файла (LOLBin). Вредоносная программа использует особенность белого файла, который автоматически запускает дочерний процесс QTalk.exe из того же каталога, маскируя всю цепочку выполнения под легитимную активность. Это также позволяет замаскировать пункт постоянства в Планировщике заданий под легатное приложение, снижая риск его обнаружения и удаления.

Конечный инструмент C2 включает функционал Hidden-Rootkit, который по команде с сервера обеспечивает скрытие вредоносных файлов, записей реестра и процессов на уровне ядра системы.

В ходе расследования был обнаружен главный контрольный домен, выступающий в роли переключателя. Он охватывает несколько C2-адресов, используемых Silver Fox. Анализ показывает, что этот переключатель, вероятно, контролируется высшим эшелоном группировки. Его правильная конфигурация позволяет перехватывать различные ветки C2 и загружать специфические полезные нагрузки. Этот механизм может использоваться высшими атакующими для онлайн-обновления C2 или для внедрения бэкдора в конкурирующие операции - практика, известная как "black hat eat black hat" (черный съедает черного). По мнению экспертов, основанному на общем анализе и опыте, его предназначение скорее склоняется к последнему сценарию.

Начальное заражение осуществляется через компрометированные веб-сайты (водопой). Группировка маскирует вредоносные MSI и EXE-установщики под популярное ПО, включая VPN-клиенты, мессенджеры, переводчики, браузеры, офисные приложения и эмуляторы, охватывая широкий спектр повседневных нужд пользователей. Для усложнения анализа некоторые установщики содержат легитимные файлы, не-PE шифрованные данные, увеличиваются в размере и используют гомоглифы (визуальное сходство символов) в именах файлов для обхода обнаружения.

Вредоносная логика MSI-пакета включает несколько этапов обфускации. Полезная нагрузка разделена на части, которые затем объединяются и многократно распаковываются с помощью пользовательского инструмента на базе zpaq с использованием разных ключей шифрования. В конечном итоге извлекается подписанный Tencent легитимный файл и загрузчик (Loader), написанный на Go, который затем используется под разными именами.

Стратегия выполнения зависит от окружения. В отсутствие целевых продуктов безопасности Loader напрямую запускает расшифровку и выполнение нового модуля в памяти. При обнаружении Tencent PC Manager используется цепочка легитимных процессов: подписанный файл запускает QTalk.exe, который, в свою очередь, исполняет Loader, создавая видимость легитимной активности и маскируя элемент персистентности.

Для обеспечения постоянного присутствия Loader создает задание в Планировщике заданий через COM-интерфейсы. Затем он анализирует среду безопасности, выбирая одну из трех веток: обход продуктов вроде Tencent PC Manager, отключение Defender или стандартная процедура для других окружений.

Модуль обхода Defender использует публично раскрытый, но позже удаленный инструмент no-defender, который регистрирует поддельный антивирус (например, Avast) через недокументированные интерфейсы Центра безопасности Windows, заставляя систему отключить Defender как конфликтующий продукт.

В стандартном сценарии Loader внедряет два основных модуля (хранитель и C2) в два отдельных процесса svchost. Для обхода продуктов, аналогичных Tencent PC Manager, этап инъекции пропускается, и Shellcode выполняется непосредственно в процессе загрузчика с использованием низкоуровневых NT-функций для избежания перехвата API.

Модули C2 и хранителя зашифрованы и загружаются из конфигурационного файла не-PE формата с использованием 20-байтового ключа и алгоритма LZ77. C2-инструмент, основанный на модифицированной версии gh0st RAT, поддерживает множество функций, включая управление файлами, запись нажатий клавиш, удаленное управление и мапинг папки автозагрузки на виртуальное устройство для обхода мониторинга.

Особого внимания заслуживает встроенный руткит-функционал, основанный на открытом проекте. Он реализует фильтрацию файлов, системные callback-и и hooks объектов на уровне ядра для скрытия своих артефактов.

Функция хранителя отслеживает состояние процесса C2, проверяя его TCP-соединения или непосредственно пытаясь открыть его дескриптор. В случае падения процесса, хранитель восстанавливает его, собирая исполняемый файл из трех частей, заранее размещенных в каталоге Windows Temp.

Наиболее тревожной находкой является механизм потенциального "черного" перехвата. Перед загрузкой локальной конфигурации C2 Loader пытается получить полезную нагрузку с домена-переключателя 3236dsfdfgt[.]icu, генерируя URL на основе своего IP-адреса C2. Это позволяет верхнему уровню группировки перехватывать контроль над зараженными системами нижестоящих партнеров, подменяя полезную нагрузку на своем сервере. Анализ показал активность, связанную с несколькими такими C2-адресами через этот домен, что подтверждает теорию о его роли в механизме контроля и потенциального внутреннего саботажа.

IPv4

• 154.23.184.26
• 202.95.16.6
• 23.132.132.62

Domains

• 3236dsfdfgt.icu
• nihao-ww.cc

URLs

• http://3236dsfdfgt.icu/kk1/154.23.184.26/code32
• http://3236dsfdfgt.icu/kk1/202.95.16.6/code32
• http://3236dsfdfgt.icu/kk1/23.132.132.62/code32
• http://3236dsfdfgt.icu/kk1/nihao-ww.cc/code32

MD5

• 0ab804759d5e65f878fc86a83653285d
• 0b6ead8868d07f819939f05ec730d1b4
• 0e543e289ecd7adc130d95fb751c7b7c
• 29ae38d371653a06205443feaa603c7e
• 391406e9f899a3769b1df02171a6f141
• 3d66b12f784c8ec6c20ff22a60865d93
• 404986b61dd879fe5d184054c8eff3d4
• 4b94d7c5c4eeadda1becbd976d5ab432
• 4f817642cda0f9093b54e78932d99c2d
• 6aab19abb9ec30ff92fc27e5cc9d6910
• 78e95d0fb3933eb9734d29b033b0e64d
• a277767ccc1264464df1bbc8a9fd94fa
• b300d75611fe2653d1b5e22333480119
• bb183499f1c2ddbb06a999a8a52c2572
• cb01200cd16f1127f5fd70136e542205
• d337e792aaa135ca50bd8ac440342092
• de6e2a7e28ae777513506f1a244b0544