СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 декабря
#ИБ

Silver Fox: SEO-атака с ValleyRAT под видом Microsoft Teams

Недавняя кампания китайской APT‑группировки, известной как Silver Fox, продемонстрировала эволюцию тактик обмана: злоумышленники использовали кириллические символы и типографически похожий домен, чтобы выдать вредоносное ПО за легитимное приложение Microsoft Teams. Цель атаки — организации в Китае; вектор распространения — SEO‑отравление (SEO poisoning) с доставкой модифицированной версии загрузчика ValleyRAT.

Как работает кампания

Атака начинается с размещения вредоносного архива под именем MSTamsSetup.zip, который содержит исполняемый файл Setup.exe. В архиве злоумышленники сознательно используют кириллицу и полностью русифицированный интерфейс исполняемого файла — это служит ложным флагом и может ввести в заблуждение при установлении авторства и реагировании на инциденты.

Ключевые элементы атаки:

  • Использование SEO‑отравления (SEO) для поднятия в поисковой выдаче поддельной страницы, имитирующей загрузку Microsoft Teams.
  • Размещение вредоносного ПО на типографически похожем домене teamscn.com, что ориентировано на китайскоязычную аудиторию.
  • Доставка модифицированного загрузчика ValleyRAT, который активируется при запуске Setup.exe из архива.
  • Отсутствие надёжного ведения журналов в целевых системах (особенно Windows Event и PowerShell), что облегчает незаметную работу трояна.

«MSTamsSetup.zip содержит кириллицу и исполняемый файл, полностью представленный на русском языке, что может ввести в заблуждение при установлении авторства и усложнить процедуры реагирования на инциденты.»

Цели злоумышленников

У Silver Fox прослеживаются две основные мотивации:

  • Спонсируемый государством шпионаж — сбор конфиденциальных разведывательных данных.
  • Финансовое мошенничество для покрытия расходов и поддержки операций группы.

Ранее группа использовала аналогичную тактику SEO‑отравления, маскируясь под распространенные приложения, такие как Telegram и Chrome. В текущей кампании фокус поставлен на поддельный Microsoft Teams, что указывает на целенаправленные атаки против китайскоязычных пользователей и организаций, работающих в Китае или имеющих там подразделения.

Почему это особенно опасно

  • Использование ложных флагов (кириллица, русский интерфейс) усложняет атрибуцию и может сбить с толку команды реагирования.
  • Размещение на домене, визуально близком к легитимному, повышает вероятность успешной компрометации пользователей.
  • Недостаточное логирование (Windows Event, PowerShell, мониторинг процессов rundll32) снижает видимость активности и увеличивает время обнаружения.
  • Менее известные, но хорошо подготовленные группы способны проводить целенаправленные региональные кампании, которые могут застать службы безопасности врасплох.

Рекомендации по защите

Организациям рекомендуется принять упреждающие и оперативные меры — как технические, так и организационные:

  • Включить и централизовать логирование: включите детальное журналирование PowerShell (Module, ScriptBlock и транскрипцию), собирайте и анализируйте Windows Event Logs, обеспечьте логирование командной строки процессов (включая rundll32).
  • EDR и детекция поведения: разверните Endpoint Detection and Response с мониторингом аномалий при запуске исполняемых файлов из архивов и временных директорий.
  • Фильтрация доменов и защита веб‑трафика: примените DNS‑фильтрацию, блокируйте подозрительные и типографически похожие домены, используйте URL‑фильтрацию и проверку сертификатов.
  • Почтовая и веб‑безопасность: сканируйте вложения ZIP и исполняемые файлы на уровне прокси/шлюза, ограничьте автоматическое открытие вложений.
  • Политика исполнения и allowlisting: ограничьте исполнение приложений через Application Control / allowlisting, запретите запуск исполняемых файлов из пользовательских каталогов и временных директорий.
  • Повышение осведомленности пользователей: обучение персонала распознаванию фишинговых страниц, поддельных сайтов и подозрительных загрузок.
  • Сегментация сети и управление привилегиями: минимизируйте права пользователей и сократите возможности для перемещения злоумышленников по сети.
  • План реагирования: подготовьте процедуры инцидент‑レスponse с учётом ложных флагов и сценариев с ValleyRAT; регулярно проводите тесты.

Вывод

Кампания Silver Fox показывает, что злоумышленники продолжают совершенствовать методы социальной инженерии и технической маскировки, сочетая SEO‑атаки с ложными флагами и выбором локализованных эксплойтов. Для организаций, особенно имеющих присутствие в Китае, это сигнал к тому, чтобы усилить видимость событий в инфраструктуре, пересмотреть политики логирования и повысить готовность к атакам с элементами дезинформации. В условиях, когда менее известные APT могут действовать избирательно и эффективно, превентивные меры и постоянный мониторинг остаются ключевыми факторами безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: