Активность хакерской группировки Silver Fox продолжает нарастать, а её атакующие методы становятся всё более изощрёнными. По последним данным, злоумышленники внедрили в свой арсенал RootKit-технологии, что позволяет им скрывать вредоносную активность на уровне ядра операционной системы, избегая обнаружения традиционными антивирусными решениями.
Описание
Ранее Silver Fox использовала уязвимости в драйверах легального программного обеспечения (техника BYOVD), чтобы обходить защитные механизмы. Однако теперь атаки стали ещё более скрытными. Вредоносный код внедряется в систему через заражённые установочные пакеты, маскирующиеся под популярное ПО, такое как мессенджеры или офисные приложения. Эти пакеты распространяются через фальшивые веб-сайты, которые занимают высокие позиции в поисковых системах благодаря SEO-оптимизации.
После заражения вредоносная программа начинает многоэтапную атаку. Сначала она проверяет окружение, чтобы убедиться, что не запущена в песочнице или виртуальной машине. Затем загружает дополнительные модули, включая RootKit, который маскирует вредоносные процессы, скрывает файлы и защищает себя от удаления. Для связи с сервером управления (C2) используются зашифрованные каналы, а трафик маскируется под легитимные сетевые запросы.
Одним из ключевых нововведений стало использование драйверов клавиатуры и мыши для выполнения вредоносных действий. Вместо стандартных API-вызовов злоумышленники применяют низкоуровневое управление вводом, что делает их действия менее заметными для систем мониторинга. Кроме того, RootKit блокирует попытки завершить его процессы или изменить связанные с ним записи в реестре.
Эксперты отмечают, что подобные атаки особенно опасны для корпоративных сетей, так как позволяют злоумышленникам не только похищать конфиденциальные данные, но и использовать заражённые устройства для атак на другие компьютеры внутри организации. Уже зафиксированы случаи, когда вредоносное ПО использовалось для проведения финансовых мошеннических операций через корпоративные мессенджеры.
Для борьбы с подобными угрозами специалисты рекомендуют уделять особое внимание защите конечных точек, использовать решения для обнаружения аномального поведения процессов и регулярно обновлять программное обеспечение. Также важно обучать сотрудников основам кибербезопасности, чтобы снизить риск попадания на фишинговые сайты.
Группировка Silver Fox продолжает развиваться, и её атаки становятся всё более сложными для обнаружения. Это подчёркивает необходимость комплексного подхода к защите данных и инфраструктуры, особенно в условиях роста числа целевых кибератак.
Индикаторы компрометации
IPv4
- 192.238.129.9
- 38.181.42.127
- 38.181.42.99
- 38.181.44.126
MD5
- 4322a122fcd265a46b6b68297b6b78cf
- 6a3af622b18c9d2340046085a563ea1f
- 942dd89e705089c392698a32843df756
- d7aa870551144af7043f0d0760dff64e
