Плавающая змея (Silver Fox): стеганография, RC4, скрытые драйверы и C2

Группа шантажистов Плавающая змея (Silver Fox) применяет сложную, многокомпонентную методологию для скрытия своей вредоносной деятельности от средств защиты. От многоступенчатого расшифрования полезной нагрузки до контрмер на уровне драйверов — кампания демонстрирует высокий уровень технической изощрённости и продуманной координации компонентов для стойкого сохранения доступа и обхода обнаружения.

Ключевые элементы атаки

• Многоуровневое дешифрование: вредоносная цепочка использует последовательные этапы расшифровки, которые собирают конечную полезную нагрузку из множества зашифрованных компонентов, что затрудняет статический и поведенческий анализ.
• Широкая и скрытая C2-инфраструктура: в кампании задействованы около 80 зашифрованных альтернативных адресов управления (C2), что усложняет обнаружение и блокировку коммуникаций.
• Стеганография: передача и маскировка данных осуществляется через комплексную схему стеганографии для сокрытия следов взаимодействия с инфраструктурой злоумышленников.
• Инсталлятор и скрипты: полезная нагрузка упакована в инсталлятор Windows youd_fanyiK_2.0.msi, который во время установки тихо выполняет VBS-скрипт. Скрипт создаёт каталоги, имитирующие легитимные системные папки, и расселяет вредоносные файлы по разным местам в файловой системе для скрытого развертывания.
• Удалённый доступ — Winos: критическим компонентом является RAT Winos, подключение которого защищено зашифрованным процессом. Соединение позднее расшифровывается и выполняется, что даёт злоумышленникам удалённый контроль над системой жертвы.
• RC4-шифрование состояния: связь между вредоносным ПО и инфраструктурой злоумышленника защищена методом на основе RC4 с использованием специального ключа для шифрования информации о состоянии системы и сопутствующих метрик.
• Контрмеры на уровне драйверов: для маскировки взаимодействия с ПО безопасности группа использует создаваемые драйверные файлы, которые заметают следы во время выполнения и усложняют обнаружение.
• Вторичные векторы: другой исполняемый файл — Wcnhguhyr.exe — развёртывается для загрузки дополнительных ключевых компонентов; эти компоненты используют структурные хэши целевых драйверов, чтобы обойти сигнатуры AV различных поставщиков.

Технические детали и особенности

Технологическая комбинация методов подчёркивает прагматичный и адаптивный характер кампании:

• Многоступенчатое дешифрование и распределённая природа полезной нагрузки делают процесс восстановления зловредного кода постепенным и трудноотслеживаемым.
• Использование ~80 C2-адресов и стеганографии повышает устойчивость инфраструктуры к блокировкам и делает сетевой детектинг сложнее.
• RC4-шифрование служит для защиты критичных обменов и метрик состояния, что препятствует аналитике и перехвату данных в ходе выполнения.
• Обход сигнатур через структурные хэши целевых драйверов показывает направленность на эксплуатацию слабостей традиционного сигнатурного детектинга.

«Эта практика указывает на высокий уровень изощрённости», — констатирует отчёт, подчёркивая способность злоумышленников маскировать своё взаимодействие с ПО безопасности.

Роль SmartArmor и подходы к защите

В отчёте отмечено использование проактивных защитных механизмов на уровне ядра, внедрённых компанией Antenna CERT в виде технологии SmartArmor. Ключевые функции SmartArmor:

• мониторинг процессов в режиме реального времени;
• оценка поведения процесса с точки зрения рисков;
• прерывание операций с высоким риском, включая попытки загрузки потенциально вредоносных драйверов;
• блокирование на основании репутации каталога и отсутствия действительных цифровых подписей, что эффективно предотвращает установку драйверов, связанных с полезной нагрузкой Плавающая змея.

Последствия и рекомендации

Кампания Плавающая змея (Silver Fox) подчёркивает необходимость многоуровневого подхода к защите. Практические рекомендации для команд по кибербезопасности:

• Внедрять мониторинг загрузки драйверов и блокировать загрузку неподписанных или находящихся в подозрительных каталогах драйверов.
• Использовать поведенческий анализ в реальном времени (как в SmartArmor) для выявления многоступенчатых схем дешифрования и атипичного поведения установщиков (.msi) и скриптов (VBS).
• Контролировать и анализировать цепочки исполнения, связанные с youd_fanyiK_2.0.msi и Wcnhguhyr.exe, а также отслеживать создание «маскирующих» системных каталогов.
• Внедрять сетевые механизмы обнаружения, ориентированные на аномалии в коммуникациях и использование множества C2-адресов; учитывать возможности стеганографии при анализе трафика.
• Анализировать целевые драйверы на предмет использования структурных хэшей и применять эвристики, дополняющие сигнатурный детектинг.

Вывод

Сочетание многоуровневого шифрования, стеганографии, драйверных контрмер и распределённой C2-инфраструктуры делает кампанию Плавающая змея (Silver Fox) заметным примером современной угрозы для корпоративных сред. Одновременно появление и внедрение технологий уровня ядра, таких как SmartArmor, демонстрирует, что оборона продолжает развиваться в ответ на усложняющиеся методы атак. Это очередное подтверждение «игры в кошки-мышки» между злоумышленниками и защитниками в киберпространстве.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.