Китайская киберпреступная группировка Silver Fox в августе значительно усовершенствовала свои методы доставки вредоносного ПО и обхода систем защиты, демонстрируя уровень технической подготовки, сопоставимый с передовыми APT-группами (Advanced Persistent Threat - условно-постоянная продвинутая угроза). Специалисты компании ThreatBook обнаружили, что злоумышленники начали активно размещать вредоносные нагрузки на легитимных правительственных веб-сайтах с доменом .gov, что позволяет им обходить традиционные системы безопасности, основанные на анализе URL-адресов.
Описание
Новым тактическим приемом стало использование уязвимостей в компоненте kkFileView, который представляет собой систему предварительного просмотра файлов с открытым исходным кодом. Вместо эксплуатации уязвимостей для удаленного выполнения кода, злоумышленники используют функцию произвольной загрузки файлов в версиях компонента от 4.2.0 до 4.4.0-beta для размещения вредоносных архивов. Затем они копируют ссылки на эти файлы, создавая легитимные на вид URL-адреса, которые используются в трех сценариях: как ссылки для скачивания на фишинговых сайтах, как адреса для загрузки последующих компонентов вредоносного ПО и как промежуточные ссылки для перенаправления в схемах мошенничества JinChan.
Аналитики обнаружили, что за последние месяцы было скомпрометировано более 30 веб-сайтов различных организаций, включая университеты, производственные компании, государственные учреждения и частные предприятия. Использование доменов .gov и .edu с длительной историей регистрации и действительной ICP-лицензией позволяет злоумышленникам эффективно обходить системы безопасности, поскольку такие ссылки воспринимаются как доверенные.
Еще одним заметным усовершенствованием стало внедрение специальных параметров URL в фишинговые кампании. В августе ThreatBook зафиксировал распространение фишинговых документов с темой «субсидия на высокую температуру», в которых QR-коды вели на адреса в формате http://cjsfwl11.com[.]cn/?s=a8395. Параметр s, вероятно, служит идентификатором дистрибьютора, и доступ к конечной фишинговой странице возможен только при его наличии. Прямой доступ к домену возвращает страницу помех, что затрудняет анализ.
Группа Silver Fox демонстрирует все более изощренные методы обхода систем безопасности. Образцы, обнаруженные в августе с ключевыми словами «查阅» (просмотр) и «setup» в своих названиях, реализуют сложную цепочку выполнения, которая использует легитимные системные процессы. Загрузчик загружает компоненты .NET из облачного хранилища Baidu Intelligent Cloud BOS, а затем использует COM для запуска mmc.exe, чтобы загрузить файл 释放的.mmc, который, в свою очередь, загружает HTML-файл. Скрипт JavaScript в HTML создает объект ActiveX для вызова WMI, который выполняет загруженный компонент .NET. Эта многоэтапная схема предназначена для нормализации цепочки выполнения между загрузчиком и конечным вредоносным компонентом, что затрудняет ее обнаружение системами EDR (Endpoint Detection and Response).
Конечный вредоносный компонент использует технику «white-in-black», при которой легитимный файл .NET EXE загружает вредоносную DLL DBGBufferp.dll через AppDomainManager. Последний затем загружает XML-файл adp.xml, который содержит код оболочки, вставляемый в процесс perfmon.exe. Этот код оболочки представляет собой модуль удаленного доступа с возможностями мониторинга экрана, регистрации нажатий клавиш, аудио- и видеонаблюдения, удаленного выполнения команд, управления процессами и передачи файлов.
Особую озабоченность вызывает активное использование группой технологии BYOVD (Bring Your Own Vulnerable Driver) для отключения систем безопасности. В конце августа Check Point сообщила, что Silver Fox использовала уязвимый драйвер amsdk.sys из антивируса WatchDog версии 1.0.600. Этот драйвер подписан Microsoft, не входит в список заблокированных уязвимых драйверов и не обнаруживается такими общественными проектами, как LOLDrivers.
Анализ показал, что загрузчик определяет версию операционной системы и, в зависимости от результата, выпускает соответствующий уязвимый драйвер: ZAM.exe для Windows 7 или amsdk.sys для Windows 10/11. Расследование ThreatBook показало, что деятельность этой группы можно проследить с мая, когда она использовала драйвер aswArPot.sys от Avast/AVG, а также более новую версию wamsdk.sys 1.1.100 от WatchDog, которая все еще содержит уязвимость.
Образец с именем «Runtime Broker.exe» размером 705,5 КБ, датированный 3 июня, использует упаковку UPX и регистрирует службу с именем Termaintor для обеспечения постоянства. После перемещения в каталог C:\Program Files\RunTime образец выпускает драйвер, хранящийся в виде шестнадцатеричной строки с кодировкой base64, загружает его и использует для завершения указанных процессов, имена которых также закодированы в base64. После отключения систем безопасности образец запускает модуль подключения Silver Fox, который вставляется в процесс svchost для установления соединения с сервером управления.
Индикаторы компрометации
IPv4 Port Combinations
- 156.234.58.194:52110
- 156.234.58.194:52111
MD5
- 8132275b7a38aaa2421e5815ba02bfd7
