Эксперты по кибербезопасности из ГК «Гарда» обнаружили технологическое пересечение в инструментарии двух известных хакерских группировок - SilverFox и APT41. Анализ сетевых протоколов показал, что SilverFox начала использовать модифицированную версию протокола KCP, ранее активно применявшегося APT41. Это указывает на возможный обмен опытом или адаптацию инструментов между разными киберпреступными сообществами.
Описание
Эволюция инструментария SilverFox
Группировка SilverFox длительное время использует программу удаленного доступа Winos, которая постоянно развивается. Последняя версия Winos 4.0 привлекла внимание специалистов из-за изменений в сетевой коммуникации. Злоумышленники сохранили прежнюю схему подключения, но добавили опенсорсную реализацию протокола KCP на базе библиотеки HP-Socket. Это усложнило детектирование атаки, так как многие системы мониторинга были настроены на классические сигнатуры Winos.
Эксперты выделили образец с хеш-суммой MD5: 518f06379ec6c5d13303b400236842c0, в котором сочетаются старые элементы Winos и новая реализация KCP. Детонация в песочнице подтвердила связь между различными компонентами атаки.
Начало атаки: фишинг и социальная инженерия
Первичное заражение обычно происходит через целевые фишинговые письма. Например, злоумышленники рассылают сообщения, маскирующиеся под электронные счета. В одном из случаев письмо на китайском языке имело тему «[Электронный счет] У вас есть электронный счет [Номер счета: 05751366]» и было отправлено с поддельного адреса thedear-abuse@jtsuw.cn.
Для повышения эффективности атакующие применяют несколько тактик социальной инженерии: сокрытие URL-ссылок, маскировка типа файлов, использование вредоносных вложений и архивов RAR, а также имитация доверенных брендов.
Механизм заражения: дроппер и инициатор
Основная нагрузка доставляется через самораспаковывающийся RAR-архив, который выступает в роли дроппера. При запуске архив в скрытом режиме извлекает зашифрованный шелл-код и инициатор ConsoleApplica.exe. Анализ дроппера выявил следы компиляции, включая пути к PDB-файлам, такие как D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb. Статический анализ подтвердил, что файл собран с помощью Microsoft Visual C/C++ (2013-2017).
Инициатор выполняет несколько критических действий: создает механизм персистентности через VBS-скрипт, регистрирует задание в планировщике задач, активирует сетевые интерфейсы и запускает шелл-код. Шелл-код хранится в зашифрованном виде в файле C:\Windows\EVAAA.bin и расшифровывается с помощью XOR с ключом 0x58. Для усложнения анализа хакеры используют обфускацию сетевых функций, разбивая строки на части.
Второй этап: стейджер и основной модуль
Стейджер загружает и расшифровывает основной модуль ValleyRAT, используя технику Reflective DLL Injection. Это позволяет избежать записи файла на диск и затрудняет обнаружение. Для обхода ASLR злоумышленники динамически определяют адреса системных библиотек через PEB, используя сегментный регистр GS.
Основной модуль Winos/ValleyRAT детектируется статическими анализаторами, но в реальной атаке он не сохраняется на диск. После загрузки в память устанавливается соединение с командным сервером. Коммуникация происходит в три этапа: регистрация жертвы, получение конфигурации резервного канала и подключение через резервный канал.
Сетевой протокол: Gh0stKCP и его особенности
Для резервного канала связи используется модифицированный протокол KCP, который эксперты назвали Gh0stKCP. Он работает поверх UDP на порту 80 и включает кастомную процедуру «рукопожатия», состоящую из семи пакетов размером 12 байт. В отличие от стандартного трехэтапного handshake, эта реализация содержит избыточные пакеты, что может служить сетевым отпечатком.
KCP-пакеты содержат заголовок размером 24 байта и данные кастомного протокола Winos. Полезная нагрузка шифруется XOR с ключом 0x3A и сжимается с помощью zLib. Анализ трафика показал, что минимальный размер пакета с данными составляет 80 байт.
Связь с APT41
Протокол KCP ранее встречался в инструментах группировки APT41, включая бэкдор Keyplug и другие компоненты Winnti. Обнаружение этой технологии в Winos указывает на возможное заимствование или совместное использование разработок. Это подтверждает гипотезу о взаимовлиянии хакерских группировок.
Тактики уклонения и сокрытия
SilverFox применяет разнообразные методы для избежания обнаружения. Согласно матрице MITRE ATT&CK, атакующие используют несколько тактик:
- TA0011 Command and Control: нестандартные протоколы, шифрование трафика, обфускация данных и многоэтапные каналы связи.
- TA0005 Defense Evasion: инъекция PE-файлов и рефлективная загрузка кода.
- TA0003 Persistence: создание заданий в планировщике задач.
- TA0002 Execution: использование PowerShell и скриптов.
- TA0007 Discovery: сбор информации о системе.
Выводы
Группировка SilverFox демонстрирует высокий уровень адаптивности, заимствуя и улучшая инструменты других хакерских объединений. Многоступенчатая атака, включающая социальную инженерию, сложные механизмы персистентности и маскировки трафика, представляет серьезную угрозу для корпоративного сектора. Однако даже такие продвинутые методы оставляют поведенческие аномалии, которые можно использовать для обнаружения атак. Постоянный мониторинг сетевой активности и анализ протоколов позволяют выявлять подобные угрозы на ранних стадиях.
Индикаторы компрометации
IPv4 Port Combinations
- 103.214.174.238:8899
- 27.124.3.234:8443
- 43.133.39.217:80
MD5
- 0511b46fe1ed1f9b51cf2da868f741c8
- 0b986e02d93c7b2f1911b1326ecde6ed
- 384671e3078cb8ba0c0b5706a8437bb0
- 397117f23e73b2f3f6d97be441487410
- 507cf41361cbbf6a01d8e1712557f726
- 518f06379ec6c5d13303b400236842c0
- 527f59d0ab8798f59e7638282b2130f6
- 82240ff5f78335c2bb0bdaf70c63b62c
- 844ec5141cc19d86074874e404898930
- 9b1939b09bedc759169ca41eb97fef0d
- ed5a7a2c0f4e9a56f12bf3dbb38f2f29
