Исследователи кибербезопасности выявили новую волну атак группировки Silver Fox (также известной как Void Arachne), которая использует поддельные веб-ресурсы для распространения опасного вредоносного программного обеспечения. Злоумышленники создают фиктивные сайты, имитирующие официальные платформы для загрузки популярных приложений, включая WPS Office, Sogou и DeepSeek.
Механизм атаки и целевая аудитория
Согласно данным Netskope Threat Labs, хакеры регистрируют домены, максимально похожие на оригинальные ресурсы разработчиков. Например, был обнаружен сайт wpsice[.]com, который распространяет вредоносные MSI-инсталляторы на китайском языке. Это указывает на то, что основной целью кампании являются пользователи из Китая и других китайскоязычных регионов.
Вредоносная нагрузка включает в себя несколько компонентов: троян удаленного доступа Sainbox RAT, представляющий собой модификацию известного Gh0st RAT, а также вариант открытого руткита Hidden. Такая комбинация обеспечивает злоумышленникам полный контроль над зараженными системами и возможность скрытого присутствия в сети жертвы.
История активности группировки Silver Fox
Данная кампания не является первой в арсенале Silver Fox. Летом 2024 года специалисты компании eSentire зафиксировали аналогичную атаку, направленную на китайских пользователей Windows. Тогда хакеры использовали поддельные сайты для загрузки Google Chrome, через которые распространяли Gh0st RAT.
В феврале 2025 года аналитики Morphisec обнаружили еще одну кампанию группировки с использованием фальшивых веб-ресурсов. В рамках этой операции распространялись ValleyRAT (Winos 4.0) и другие модификации Gh0st RAT, что демонстрирует постоянное развитие и адаптацию тактик злоумышленников.
Технические детали атаки
Вредоносные MSI-инсталляторы, загружаемые с поддельных сайтов, используют сложную схему заражения. Первоначально запускается легитимный исполняемый файл shine.exe, который затем загружает вредоносную библиотеку libcef.dll через технику DLL side-loading. Эта методика позволяет обойти многие системы защиты, поскольку использует доверенные процессы для выполнения вредоносного кода.
Основная задача загруженной DLL заключается в извлечении и запуске шеллкода из текстового файла 1.txt, который присутствует в инсталляторе. Это приводит к активации основной полезной нагрузки — трояна Sainbox RAT.
Возможности вредоносного ПО
В секции .data исследованной полезной нагрузки содержится дополнительный PE-бинарник, который может быть выполнен в зависимости от конфигурации вредоносной программы. Встроенный файл представляет собой драйвер руткита, основанный на открытом проекте Hidden.
Троян Sainbox обладает широкими возможностями для загрузки дополнительных полезных нагрузок и кражи конфиденциальных данных. Руткит Hidden предоставляет злоумышленникам комплексные функции для сокрытия процессов, связанных с вредоносным ПО, и ключей в реестре Windows на скомпрометированных хостах.
Методы сокрытия и защиты
Руткит Hidden использует продвинутые техники для обеспечения скрытности. Он применяет мини-фильтры и обратные вызовы ядра для сокрытия процессов, файлов, а также ключей и значений реестра. Кроме того, Hidden может защищать себя и определенные процессы от обнаружения и удаления.
Особенностью данного руткита является наличие пользовательского интерфейса, доступ к которому осуществляется через IOCTL (Input/Output Control). Это позволяет злоумышленникам удобно управлять зараженными системами и настраивать параметры сокрытия.
Использование комбинации коммерческих RAT и руткитов с открытым исходным кодом предоставляет хакерам значительные преимущества. Как отмечают исследователи Netskope, такой подход обеспечивает злоумышленникам необходимый контроль и скрытность без необходимости создания собственных сложных инструментов с нуля. Пользователям рекомендуется загружать программное обеспечение исключительно с официальных сайтов разработчиков и использовать актуальные решения для защиты от вредоносных программ.
