Атака Silver Fox: фишинг и Sainbox RAT против китайских пользователей

Новая кибератака на китайскоязычных пользователей с использованием Sainbox RAT и руткитов

Netskope Threat Labs выявила очередную масштабную вредоносную кампанию, в ходе которой злоумышленники распространяют опасный Sainbox RAT и скрытый руткит под прикрытием программ для установки поддельного программного обеспечения. Мишенью атаки стали преимущественно китайскоязычные пользователи, что подчеркивает целенаправленность и уровень подготовки злоумышленников.

Механизм атаки и методы заражения

Основной вектор атаки — фишинговые веб-сайты, тщательно имитирующие популярное программное обеспечение, такое как WPS Office, Sogou и DeepSeek. Посетитель фишингового ресурса загружает специально подготовленные установочные файлы MSI или PE, которые маскируются под оригинальные инсталляторы.

• После запуска поддельного установщика имитируется процесс легитимной установки.
• Запускается легитимный исполняемый файл Shine.exe, который служит для дальнейшей загрузки вредоносной библиотеки libcef.dll.
• libcef.dll маскируется под компонент Chromium Embedded Framework и отвечает за критический этап аналитики и дальнейшего исполнения кода.
• Эта DLL обеспечивает устойчивость угрозы, добавляя в реестр Windows путь к Shine.exe.
• Загрузка дополнительного шеллкода из файла 1.txt, содержащего вредоносные инструкции и программы.

Особенности вредоносного ПО

Извлеченный шеллкод (~0xc04 байт) использует инструментарий sRDI с открытым исходным кодом для загрузки основного компонента — Sainbox RAT — непосредственно в память:

• Sainbox RAT является вариантом Gh0stRAT и предоставляет злоумышленникам широкие возможности удалённого управления заражённой системой.
• Функционал включает кражу данных, выполнение произвольных команд и другие опасные действия.
• RAT интегрируется с руткит-драйвером на базе Hidden project, что позволяет эффективно скрывать следы и обойти средства безопасности.

Текущая ситуация и атрибуция

Проанализированные операционные характеристики свидетельствуют о целенаправленном систематическом использовании фишингового сайта и повышении доверия пользователей за счет имитации популярных программных продуктов. По оценкам экспертов Netskope Threat Labs, данная кампания связана с кибергруппой Silver Fox из Китая с средним уровнем уверенности. Это основано на анализе тактик, техник и процедур (TTP), применяемых злоумышленниками.

Важно отметить, что злоумышленники используют известные инструменты с открытым исходным кодом, такие как руткиты и RAT, что минимизирует необходимость в разработке собственных решений и позволяет повысить эффективность атак.

Заключение

Команда Netskope Threat Labs продолжает внимательно отслеживать эволюцию Sainbox RAT и любые новые методы, связанные с группой Silver Fox, подчеркивая, насколько динамичным и изменчивым остаётся ландшафт современных киберугроз.

Данная кампания служит очередным напоминанием о необходимости сохранять бдительность при загрузке программного обеспечения, особенно если речь идет о ресурсах, неофициально представляющих популярные продукты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.