Китайская хакерская группировка "Golden Eye Dog" (APT-Q-27), известная своей активностью в Юго-Восточной Азии, резко усилила кибератаки с использованием усовершенствованного трояна "Silver Fox". По данным аналитиков угроз QiAnXin Threat Intelligence Center, злоумышленники распространяют вредоносное ПО через фиктивные сайты популярных программ, включая Todesk, VPN-сервисы и мессенджеры. Новый вектор атак отличается внедрением многоуровневых бэкдоров, техниками обхода антивирусов и комбинацией нескольких шпионских модулей для максимальной скрытности.
Описание
Группировка специализируется на целевых атаках против сотрудников онлайн-казино, букмекерских контор и китайских экспатов, используя фишинговые стратегии с высочайшим уровнем социальной инженерии. Их поддельные сайты, оптимизированные под поисковые системы, имитируют легитимные ресурсы для загрузки софта, что привело к заражению систем в интернет-компаниях, финансовом секторе и промышленности. Механизм атаки начинается с распространения ZIP-архивов, содержащих MSI-установщики (например, ToManually_Used_4.7.6.3_629871.msi), которые одновременно устанавливают легитимное ПО и скрытно внедряют вредоносные компоненты.
Ключевым элементом стал файл build.exe - 30-мегабайтный загрузчик на C++, который деактивирует защитные механизмы Windows Defender, добавляя корневой диск C: в исключения. Далее он запускает каскад скрытых процессов: PowerShell-скрипты (updated.ps1), исполняемые файлы (insttect.exe) и библиотеки (Microsoft.dll). Особую опасность представляет модуль monitor.bat, реализующий механизм персистентности - он постоянно проверяет активность процессов и перезапускает компоненты через regsvr32.exe при их остановке.
Инновацией стал многоступенчатый шелл-код, динамически загружающий полезную нагрузку из конфигурационных файлов (Config.ini, Config2.ini). Он использует обфускацию на основе OLLVM, что блокирует статический анализ, и напрямую атакует системы безопасности, модифицируя TCP-таблицы для блокировки облачных проверок. Финальной стадией атаки является внедрение трояна Winos4.0, который через инъекцию в svchost.exe устанавливает связь с C2-серверами (120.89.71.226, 43.226.125.17) на портах 9090-9092, похищая конфиденциальные данные.
Эксперты связывают эту кампанию с более крупной группировкой Miuuti Group, отмечая эволюцию методов "Golden Eye Dog". С 2022 года они отточили тактику "Watering hole", а теперь комбинируют "Silver Fox" с собственными разработками, позволяющими быстро менять C2-инфраструктуру. Для защиты QiAnXin рекомендует: избегать скачивания ПО с непроверенных ресурсов, блокировать подозрительные вложения, регулярно обновлять системы и использовать песочницы для анализа неизвестных файлов.
Критически важно осознавать: эти атаки эксплуатируют доверие пользователей к знакомым брендам. Установка "официального" Todesk или VPN становится троянским конем для проникновения в корпоративные сети. Только многоуровневая защита, сочетающая технические контрмеры и киберграмотность, может противостоять столь изощренным угрозам. Аналитики прогнозируют рост подобных кампаний, призывая организации усилить мониторинг сетевой активности на предмет аномальных подключений к указанным IP-адресам и портам.
Индикаторы компрометации
IPv4 Port Combinations
- 103.46.185.44:443
- 120.89.71.226:18852
- 120.89.71.226:18853
- 120.89.71.226:9090
- 120.89.71.226:9091
- 134.122.207.5:18852
- 134.122.207.5:18853
- 134.122.207.5:9090
- 134.122.207.5:9091
- 143.92.60.116:25448
- 154.91.64.224:45
- 27.124.4.150:46097
- 3.170.217.52:443
- 43.226.125.17:443
Domains
- kln.lefp8nhk.com
URLs
- https://tt.opwejg.cn/top
MD5
- 096aa3ef6a91a94bb90b026ef01ae872
- 2d1f5a2c32172820cc95f28815058bf0
- 6b6b099a82f4b49f9cf262d7a3ba2a52
- 7afaf7619cf0f8085ec590f26beaa9af
- 9e72903fc8e0e028aa181acd64b701a0
- a413e74da935c2fb6b7e26c7dfadd9ec
- af347beff0b595a61530e04bbb426e1d
- b331d84df0eae1d9cfe53800ca974db4
- fa62fa418888f896af1b6194d01360b8
- fcd3e77e71977c3a12b4f6508ffe21b4
