СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
22.12.2025
#ИБ

Silver Fox APT: SEO‑кампании, поддельные Teams и ValleyRAT

Кратко: С 2022 по 2024 год APT-группировка, известная как Silver Fox, проводила масштабные операции по распространению бэкдоров, используя приемы SEO-poisoning и поддельные инсталляторы, маскируемые под легитимные приложения — в частности, Microsoft Teams. Расследование выявило уязвимую административную панель, инфраструктуру на облачных платформах и связь с распространением ValleyRAT.

Ключевые выводы

  • Silver Fox активно эксплуатировала SEO-poisoning для перенаправления жертв на вредоносные домены.
  • Основные домены, использованные в кампании — teamscn.com и teams-zh.net — специализировались на выдаче поддельных инсталляторов Microsoft Teams.
  • Загрузки с этих сайтов доставляли ZIP-архивы, содержащие вредоносное ПО ValleyRAT (пример: ToDesk_yuancheng_x64.1.3.zip).
  • Хостинг инфраструктуры обнаружен в Alibaba Cloud и Tencent Cloud, что усиливает подозрения в отношении организованной операционной сети.
  • Административная панель для управления загрузками оказалась незащищённой, что позволило исследователям получить дополнительные доказательства действий группировки.

Как реализовывалась атака

Тактики, методы и процедуры (ТПД) группы включают в себя несколько последовательных этапов:

  • SEO-poisoning: злоумышленники оптимизировали результаты поиска, чтобы направлять пользователей на вредоносные домены, выдающие себя за официальные страницы установки.
  • Социальная инженерия и маскировка: страницы и файлы были оформлены как инсталляторы Microsoft Teams, чтобы снизить подозрения у потенциальных жертв.
  • Загрузчик на базе JavaScript: скрипты скрывали фактические запросы полезной нагрузки, усложняя статическое обнаружение и мониторинг трафика.
  • NSIS-инсталлятор: примерный образец (ToDesk_yuancheng_x64.1.3.zip) содержал NSIS-установщик, который разворачивал последующую вредоносную полезную нагрузку.
  • Обфускация и обход средств защиты: использовались ENIGMA Protector и специальные исключения PowerShell для усложнения анализа и обхода detection-правил.

Технический анализ образца

Анализ образца, помеченного как ToDesk_yuancheng_x64.1.3.zip, показал стандартную для поддельных средств удалённого управления логику:

  • NSIS-установщик запускает загрузчик, который связывается с удалёнными серверами командования и контроля (C2).
  • Доставляемая полезная нагрузка соответствует характеристикам ValleyRAT и осуществляет внешнюю связь для получения команд и дополнительного ПО.
  • На ранней стадии исполнения не обнаружено устойчивых механизмов (persistence), что указывает на возможность использования поздних этапов для закрепления в системе.
  • Инфраструктура управления и связи проявляет признаки совместной среды: несколько IP-адресов и доменов, используемых для доставки и управления.

Инфраструктура и индикаторы компрометации (IOCs)

Наиболее значимые индикаторы, выявленные в ходе расследования:

  • Домены: teamscn.com, teams-zh.net.
  • Образцы/файлы: ToDesk_yuancheng_x64.1.3.zip.
  • Вредоносное ПО: ValleyRAT.
  • Хостинг: Alibaba Cloud, Tencent Cloud.
  • Технологии обхода: ENIGMA Protector, исключения PowerShell, обфусцирующие JavaScript-загрузчики.
  • Административная панель для управления загрузками — обнаружена открытой и незащищённой.

«Административная панель оказалась незащищённой, что позволило исследователям обнаружить дополнительные приложения и шаблоны, используемые группой».

Привязка доменов к одному оператору

Исследователи отмечают, что Silver Fox придерживалась повторяющихся соглашений об именовании и шаблонов при регистрации доменов. Эти шаблоны помогают атрибутировать новые домены к той же операционной деятельности на основе совпадения шаблонов предыдущих кампаний.

Выводы и рекомендации

Деятельность Silver Fox демонстрирует хорошо организованный подход к доставке RAT через поддельные инсталляторы и использование множества техник для обхода детекции. Для защиты организаций и пользователей целесообразно:

  • Проверять источники установочных файлов и загружать ПО только с официальных сайтов.
  • Внедрять и обновлять поведенческий мониторинг, особенно для обнаружения аномальной внешней связи с неизвестными C2-серверами.
  • Контролировать и блокировать домены и IP, связанные с кампанией (включая указанные IOCs).
  • Применять средства анализа и детектирования обфусцированного кода (ENIGMA Protector, обфусц. JavaScript) и настраивать исключения PowerShell с осторожностью.
  • Проверять доступность административных панелей и интерфейсов управления в собственной инфраструктуре, чтобы исключить случайные утечки или взломы.

Наблюдаемая тактика Silver Fox — сочетание SEO-poisoning, поддельных инсталляторов и облачного хостинга — делает их операцию масштабируемой и сложной для обнаружения. Это подчеркивает необходимость скоординированных мер по обнаружению, блокировке и аналитике для своевременного реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: