SilverFox доставляет бэкдор Sauron через многоступенчатый загрузчик

Аналитики кибербезопасности описали цепочку загрузчиков в стиле SilverFox, которая использует несколько уровней обфускации и вредоносных компонентов для доставки backdoor под названием Sauron. По данным отчета, атака строится как многоступенчатая операция: от первоначального exe-файла до создания постоянных механизмов закрепления в системе.

Как устроена цепочка заражения

Начальный исполняемый файл, названный ainstaller-86533005.exe, применяет нетривиальные техники для подготовки payload к запуску. В частности, он использует выделение памяти с правами write и execute, а полезная нагрузка дважды декодируется перед выполнением.

Дальнейшее развитие цепочки включает несколько этапов:

• использование зашифрованных носителей, размещенных на Alibaba OSS;
• маскировку объектов под изображения с именами вроде a.gif и b.gif;
• подгрузку подписанных файлов с хостов, связанных с Philips и Microsoft;
• распаковку дополнительных компонентов уже во время выполнения.

Использование Task Scheduler и VirtuOne

Ключевой этап развития вредоносного ПО связан с загрузкой и декодированием payload, после чего создается запись в Task Scheduler с применением VirtuOne. Отчет указывает на использование механизмов Task Scheduler RPC с заданными triggers, которые позволяют вредоносному коду запускать задачи через определенные интервалы.

Отдельного внимания заслуживает shellcode, встроенный в декодированный файл s.jpg. Он выступает в роли полезной нагрузки и дополнительно инициирует создание запланированных задач, обеспечивая длительное присутствие ВПО в фоновом режиме.

Компонент DLL-bridge и связь с Gh0stRAT

Цепочка продолжается через компонент DLL-bridge adoresd.dll, который распаковывается с использованием five-byte trailer как часть фреймворка ВПО. По данным отчета, загрузчик включает код из Gh0stRAT и опирается на устойчивые шаблоны экосистемы SilverFox.

Для таких кампаний характерны:

• зашифрованная связь;
• поэтапная доставка payload;
• использование общих инструментов и методологий разными акторами угроз.

Финальные этапы: закрепление и сокрытие следов

Финальная стадия завершается созданием службы для backdoor Sauron. В рамках этого процесса вредоносное ПО копирует себя в критические системные расположения, включая каталог Windows, устанавливает запланированные задачи и задействует механизмы самораспространения.

Дополнительно используются процедуры очистки, удаляющие другие indicators of compromise. Это усложняет обнаружение и затрудняет последующий forensic analysis.

Техники уклонения от обнаружения

На протяжении всей операции ВПО демонстрирует устойчивые методы уклонения, включая Dynamic API resolution и различные проверки во время выполнения. Такие приемы помогают избегать обнаружения средствами защиты и повышают живучесть кампании.

Сложность среды вредоносного ПО SilverFox подчеркивает не только модульную природу современных угроз, но и критическую роль мониторинга необычных созданий запланированных задач и использования cloud storage-сервисов для доставки вредоносных загрузок.

Почему это важно

Отчет показывает, что современные угрозы все чаще опираются на модульные цепочки доставки, легитимную инфраструктуру и сочетание нескольких техник сокрытия. Особую опасность представляют:

• необычные события в Task Scheduler;
• использование cloud storage-сервисов как канала доставки;
• наличие связей с семейством Gh0stRAT;
• многоступенчатая архитектура, усложняющая анализ.

В итоге связка SilverFox и Gh0stRAT демонстрирует эволюцию угроз, при которой разные акторы используют общие инструменты, повторяющиеся паттерны и скрытные механизмы закрепления для проведения своих кампаний.