آنتی ویروس پادویش خرید طلا از میلادزر

گروه APT Silver Fox تایوان را با بدافزارهای پیچیده Gh0stCringe و HoldingHands RAT هدف قرار می‌دهد

Silver Fox APT Targets Taiwan with Complex Gh0stCringe and HoldingHands RAT Malware

به گزارش زوم تک به نقل از The Hacker News، محققان امنیت سایبری در مورد یک کمپین فیشینگ جدید هشدار می‌دهند که کاربران در تایوان را با خانواده‌های بدافزاری مانند HoldingHands RAT و Gh0stCringe هدف قرار داده است.

کانال بله زوم تکگیفت کارت

فعالیت این گروه بخشی از یک کمپین گسترده‌تر است که پیش‌تر در ژانویه امسال، با ارسال پیام‌های فیشینگ که خود را به عنوان اداره ملی مالیات تایوان جا می‌زدند، از چارچوب بدافزاری Winos 4.0 استفاده کرده بود. آزمایشگاه‌های FortiGuard شرکت Fortinet در گزارشی که با The Hacker News به اشتراک گذاشته شده، این موضوع را اعلام کرده‌اند.

این شرکت امنیت سایبری گفت که از طریق نظارت مستمر، نمونه‌های بدافزاری اضافی را شناسایی کرده و مشاهده کرده است که همان عامل تهدید، که با نام Silver Fox APT شناخته می‌شود، از اسناد PDF یا فایل‌های ZIP آلوده به بدافزار استفاده می‌کند. این فایل‌ها از طریق ایمیل‌های فیشینگ توزیع می‌شوند تا بدافزارهای Gh0stCringe و نمونه‌ای از بدافزار بر اساس HoldingHands RAT را منتشر کنند.

شایان ذکر است که هر دو بدافزار HoldingHands RAT (با نام مستعار Gh0stBins) و Gh0stCringe، نسخه‌هایی از یک تروجان دسترسی از راه دور شناخته شده به نام Gh0st RAT هستند که به طور گسترده توسط گروه‌های هکری چینی استفاده می‌شود.

نقطه شروع این حمله یک ایمیل فیشینگ است که خود را به عنوان پیام‌هایی از سوی دولت یا شرکای تجاری نشان می‌دهد و از ترفندهایی مرتبط با مالیات، صورت‌حساب و بازنشستگی استفاده می‌کند تا دریافت‌کنندگان را به باز کردن فایل پیوست ترغیب کند. زنجیره‌های حمله جایگزین نیز شناسایی شده‌اند که از یک تصویر جاسازی‌شده استفاده می‌کنند که با کلیک روی آن، بدافزار را دانلود می‌کند.

فایل‌های PDF نیز به نوبه خود حاوی لینکی هستند که اهداف احتمالی را به صفحه‌ای برای دانلود هدایت می‌کند که یک آرشیو ZIP را میزبانی می‌کند. در داخل این فایل، چندین فایل اجرایی قانونی، لودرهای شل‌کد و شل‌کد رمزگذاری‌شده وجود دارد.

دنباله آلودگی چندمرحله‌ای شامل استفاده از لودر شل‌کد برای رمزگشایی و اجرای شل‌کد است که چیزی نیست جز فایل‌های DLL که توسط باینری‌های قانونی با استفاده از تکنیک‌های DLL side-loading بارگذاری می‌شوند. بارهای میانی که به عنوان بخشی از حمله مستقر می‌شوند، شامل قابلیت‌های ضد-VM و ارتقاء امتیازات هستند تا اطمینان حاصل شود که بدافزار بدون هیچ مانعی روی میزبان آلوده اجرا می‌شود.

این حمله با اجرای “msgDb.dat” به اوج خود می‌رسد، که توابع فرمان و کنترل (C2) را برای جمع‌آوری اطلاعات کاربر و دانلود ماژول‌های اضافی برای تسهیل مدیریت فایل و قابلیت‌های دسکتاپ از راه دور پیاده‌سازی می‌کند.

Fortinet اعلام کرد که همچنین مشاهده کرده است که عامل تهدید، بدافزار Gh0stCringe را از طریق پیوست‌های PDF در ایمیل‌های فیشینگ منتشر می‌کند که کاربران را به صفحات HTML دانلود سند هدایت می‌کند.

این شرکت گفت: “زنجیره حمله شامل قطعات متعددی از شل‌کد و لودرها است که جریان حمله را پیچیده می‌کند.” “در Winos، HoldingHands و Gh0stCringe، این گروه تهدید به طور مداوم بدافزار و استراتژی‌های توزیع خود را تکامل می‌دهد.”

 

به این پست امتیاز بدید

نظرات در مورد : گروه APT Silver Fox تایوان را با بدافزارهای پیچیده Gh0stCringe و HoldingHands RAT هدف قرار می‌دهد

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *