Киберпреступники Silver Fox усиливают атаки: обход 166 антивирусов и скрытное внедрение в доверенные зоны

Атаки начинаются с компрометации легитимного программного обеспечения. Злоумышленники проводят SEO-отравление выдачи поисковых систем, продвигая поддельные страницы популярных приложений: браузеров, офисных пакетов, VPN-сервисов и инструментов для стриминга. Жертвам предлагается загрузить MSI-установщик, внутри которого, помимо легального ПО, скрывается вредоносная нагрузка. Для усложнения анализа файлы искусственно «раздуваются» до сотен мегабайт за счет добавления мусорных данных.

Ключевой особенностью новой кампании стало использование уязвимого драйвера wsftprm.sys (CVE-2023-52271) компании Topaz. С его помощью злоумышленники приостанавливают процессы антивирусных программ и разрывают их сетевые соединения, лишая защиты возможности получать обновления и передавать данные в облако. Для противодействия продуктам Tencent, которые устойчивы к такому воздействию, группа дополнительно пытается отключить их сервисы и добавить собственные исполняемые файлы в белые списки.

Многоступенчатая схема заражения включает цепочку легитимных исполняемых модулей с цифровыми подписями, таких как TaskLoad.exe от NetEase и Mini BrowserCore от Hefei Nuola Network Technology. Через них в память загружаются зашифрованные полезные нагрузки, расшифровка которых требует выполнения строго определенных условий, что затрудняет анализ в песочницах. Финальная стадия - выполнение скрытого в графических файлах (Consys21.png, ConsysFun.png) бэкдора с функциями удаленного доступа, перехвата аудио и видео и организации DDoS-атак.

Эксперты отмечают, что атака демонстрирует высокий уровень технической изощренности и глубокое понимание механизмов работы систем защиты. Для противодействия подобным угрозам специалисты Tencent рекомендуют регулярно обновлять антивирусное ПО, критически относиться к источникам загрузки программ и использовать решения с функциями контроля целостности доверенных зон и поведенческим анализом. Компания также призывает к более тесному сотрудничеству между вендорами в области обмена информацией о киберугрозах для повышения уровня безопасности в целом.

IPv4

• 47.76.206.40

MD5

• 0060db45643327732538da08bd60dece
• 02df9bba3a73e207ef23481bd568d26a
• 06f76aafcdc0415c9fa7b44c68d4ae93
• 0860f4b7ab2c54d2f9b722a38c61e91f
• 0fb591faaebbe063467a19199bbd8b72
• 3236538f6f7e64990a5b833233e8de58
• 46e2bbe1e76de04fb2cad00944fee3cd
• 4f56e66d8cb121f1e755b701ff62159e
• 5013606aee38d81cc310b637da8797c0
• 5faa074026c3d1fe9008051874290b2e
• 67ad3ea1c08db0ae74f3ed7d10ca6fe8
• 71e033ebf339e65db71788e479dbc55d
• 755a716fd61195b1747cb484e58ede31
• 79c61a17ab842430861a807b3253d66f
• 7fd2d46e049bd5ee9090a13722661526
• 825fe6264869c2d5fb7fb00e082c4e2b
• 915cd00636edf99792d4998cdd944260
• 9289b73de640c66ad7fc028d5bfc99ed
• 975a48c03e7886878d3da2bd298c3243
• 9845cc6022bb4c569d84daae147e3efd
• a2411f718de7869e3c29181ca5ba4c4b
• b1761460cd58275b05cd3e9d813bb9af
• b5fa47e4805b462b8ebd01bbbe3ebf76
• c0a431e5927021d42512cf2db8a3f3ae
• c2710dc51dcbfac1a0c1009874f3e041
• c3dfb8896b1977b856461bec74b91ffe
• c4ab18d8299eac795fb1f3fe8e509d6d
• c4d09cc358df294e60166611126703e5
• ef156873557f063e62945c7fe62e6da0
• f714ae68a8fc44a5dfdf2f5b6b6c0ec7
• fbbcb6513a4fa9d4274c222ba2cd4c53