Китайская APT-группировка Silver Fox распространяет сложный вредоносный комплекс через поддельные установщики популярного ПО

Кампания демонстрирует высокий уровень изощренности, комбинируя несколько уровней обфускации, манипуляции с защитными решениями на конечных точках и приемы работы на уровне ядра операционной системы. Жертвы видят лишь обычный интерфейс установщика, в то время как вредоносное ПО разворачивает файлы, устанавливает драйверы, отключает защиту и в конечном итоге запускает свой основной модуль. Технические детали соответствуют предыдущей активности Silver Fox, включая использование архивов для промежуточного хранения, DLL sideloading (подмену библиотек), эксплуатацию уязвимостей в китайских продуктах безопасности и технику Bring Your Own Vulnerable Driver (BYOVD, принести свой уязвимый драйвер).

Сценарий заражения на примере установщика Telegram

Инфекционная цепочка начинается, когда жертва запускает троянизированный установщик Telegram ("tg.exe"). Этот файл, несмотря на легитимный интерфейс, имеет несколько подозрительных признаков. Например, временная метка в заголовке исполняемого файла указывает на 2019 год, что нетипично для часто обновляемого приложения. Первый этап работы включает создание папки "C:\ProgramData\WindowsData\", куда помещаются переименованный исполняемый файл 7-Zip ("funzip.exe") и файл "main.xml", который на самом деле является защищенным паролем ZIP-архивом.

Далее установщик отключает защиту Microsoft Defender для всего диска "C:\" с помощью команды PowerShell. После этого он извлекает из архива "main.xml" два файла: легитимный установщик Telegram и ключевой компонент "men.exe". Именно "men.exe" становится основным оркестратором атаки. Он проводит разведку окружения, выявляя процессы защитных решений, включая китайские продукты, и развертывает дополнительные компоненты в папке "%PUBLIC%\Documents\WindowsData\".

Для обеспечения устойчивости вредоносное ПО создает запланированную задачу с именем "WindowsPowerShell.WbemScripting.SWbemLocator", имитирующую легитимный компонент Windows. Эта задача запускает закодированный скрипт "X.vbe" при каждом входе пользователя в систему. Одновременно с этим для папки с компонентами устанавливаются особые права доступа, препятствующие их удалению даже администратором.

Ключевые компоненты и техники обхода защиты

Вредоносный комплекс использует набор специфических компонентов для достижения своих целей. Файл "bypass.exe" реализует обход контроля учетных записей (UAC) и повышение привилегий, злоупотребляя интерфейсом "ICMLuaUtil". Закодированный скрипт "X.vbe" является основным механизмом персистентности (устойчивости) и отвечает за запуск других модулей.

Компонент "main.exe" управляет установкой собственного драйвера "rwdriver.sys". Этот драйвер предназначен для обхода хуков (перехватчиков) EDR-систем (Endpoint Detection and Response, обнаружение и реагирование на конечных точках) и вмешательства в работу механизмов логирования. Важную роль играет "NVIDIA.exe" - это загрузчик уязвимого, но подписанного драйвера "NSecKrnl64.sys". Используя технику BYOVD, вредоносное ПО загружает этот драйвер в ядро, получая возможность произвольно завершать процессы, в первую очередь - процессы защитных решений.

Финальный этап - выполнение основной полезной нагрузки. Для этого используется подписанный легитимный исполняемый файл "NtHandleCallback.exe", который становится жертвой DLL sideloading. Из-за порядка поиска библиотек в Windows он загружает вредоносную "log.dll" из своей рабочей директории. Эта библиотека и содержит функционал бекдора ValleyRat, устанавливающего связь с командным сервером.

Обнаружение и противодействие

Несмотря на сложность, кампания оставляет множество артефактов для обнаружения. Ключевые точки включают создание подозрительных директорий ("C:\ProgramData\WindowsData\" и "%PUBLIC%\Documents\WindowsData\"), где не должно быть исполняемых файлов или драйверов. Критическим индикатором является добавление исключения для всего диска "C:\" в Microsoft Defender. Эту активность можно отслеживать по событию с ID 5007.

Создание запланированной задачи с командой, указывающей на папку "Public", также является явным сигналом. Обход UAC через "ICMLuaUtil" можно детектировать по вызовам "dllhost.exe" с определенными CLSID. Установка драйверов-сервисов из пользовательских директорий, таких как "%PUBLIC%", крайне нетипична для легитимного софта. Финальную активность командно-контрольного центра можно выявить, отслеживая DNS-запросы от процессов, запущенных из подозрительных путей, к новым или подозрительным доменам.

Использование инструментов вроде THOR позволяет автоматически обнаруживать многие этапы этой цепочки, включая переименованные утилиты 7-Zip, закодированные VBE-скрипты, подозрительные подписи и драйверы в нестандартных местах. Эксперты подчеркивают, что даже продвинутые кампании оставляют следы, и сочетание мониторинга процессов, файловой системы, реестра и сетевой активности позволяет эффективно выявлять подобные угрозы.

Domains

• ax.iuu8888.top
• keepmasterr.com
• knoeyyrt.com
• ydbao8.cyou
• zbj22.zbj888uul.com

SHA256

• 00ca4cc46e7e6fc5351cc211d6d23a2310ea743c7a17a79723cccdcfa08291d3
• 1abbe524c98a788301fc7ac6dd401ffa79ca2e24c2ffc112954c3b0463abda8e
• 1c763af41b74c7502d70093763723939a8025199e0ac7e39c04b5cf992f9e273
• 1eb33d7a653e4a05b1575357029a826661429de77f8eae5cbbd8ec6c6ad22fb1
• 206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261
• 2ef1c67de60e77b61219e7b653f3c5aa838912138196cf049a1d7a07fbbba3a4
• 3c5354f43b9d8bdf26b613b947bfac4e6598bcdad3063449551017a5c0939fa1
• 4eb84ee6b19b7ac124063a5afd2b21ba3a41b6ef13348e2a2ee0d94433d82a87
• 567760cca4e5b0590d7ed5c7ca61f75add6ffab199b351ce93e7429df988d046
• 6b75596830da05b93cd2f514da7369a7766c3c8a9f42729e9d87e483ed52613b
• 6d72056a797e39d234432f98e651de996b09e829ae389221acd993239600f13e
• 6dd391bb10499681f406744962230bf176454a073955913a6278058e41bc02b2
• 72c33f24fb5853d2ef70adece5c7cacedd8e568a9025f7a82fd5ef5c2f9967c5
• 73526196ac0f863bd46f1bd0653ce42c429064e24faf2ad917ff935e9bbdffb5
• 789a0da3f438c01a8cbacadda3977f9cd878b4ee8b0f88d317ab3af85ca166aa
• 7b5b05580c96e9aa8dd7a7410da67cec720ba8acb5ca073473d46c2c01248583
• 7d193400c53f895672577cfbd6b21ae20a204fa0c07bb68a8207bd4df47ae02a
• 7e42401b9983cd3b090ae97a9c723a46c9ecee04bbb5f55d0bda60226f043131
• 9d3baf43ac52740895e50e3d5e4c8d6618ac1ddb4b54955ad7493366c63deeb2
• 9ede6da5986d8c0df3367c395b0b3924ffb12206939f33b01610c1ae955630d1
• a8c5b9fd1a97c0057834e3e3c6fc7a218a10212883ce4e8947c06f3acfb282a7
• abae8ad8577e2bcb7389769be60d60f6d230e5827a9ff7adfe92c62a38e99d64
• b4ac2e473c5d6c5e1b8430a87ef4f33b53b9ba0f585d3173365e437de4c816b2
• b67a14305b802ed9f9039ce5c8f49b2bc3075ca3efd7f6bb63e0aaab993e594b
• b70434f49fbd5e87c23030711647bb77fbc59986656dbbfd9481a3c376217772
• c027cf868757babab33686bf4c41192339e04fa89ad868409a5cd4ed90a1f71e
• da1056565881da22ba1e87ce776184a300727a918519111f975331cbdd136ade
• e122ff1369a2a229b8342c5688e49f627c29708353f8851dda5787f51b64e3c0
• e774704b4e45fafcd0f8344f61dfd67177ef14de664d5610e7047d8e42621845
• e90b505e3b31e15e608f2f9fb1c0fabdff29b91988eb6a61a73556e05e182d4c
• f1bde45ac4a34b8ec885fb5fb07f5e47f89f97b257cc38a1eb37fc0c308c4a04
• f330e21cf670da67160937525dd5ca80b1f26c9b3dddd34adb2f175d85c485f1
• fb249bff9449bbd715d936e6bce4ce2354434dc9eb305e352ffadbc82562252f
• fcca326a15c217825a055d95ac672900286f3889e27af91fe6789430bfc08a45