Новости Счёт от бухгалтерии, PDF во вложении — ничего не обычного, но ИБ-шник почему-то вспотел и схватился за голову

[NewsMaker]

Ну кто же знал, что за логотипом налоговой скрывался троян с удалённым доступом?

---

---

В Тайване зафиксирована новая фишинговая кампания, за которой стоит активная Для просмотра ссылки Войди или Зарегистрируйся -группа Silver Fox. Специалисты по информационной безопасности сообщили, что злоумышленники распространяют вредоносные программы семейства Gh0stCringe и HoldingHands RAT, маскируясь под государственные структуры и деловых партнёров. Основной вектор атаки — электронные письма с заманчивыми темами о налогах, счетах и пенсиях.

Первый всплеск активности этой кампании был замечен ещё в январе, когда в обращение поступила вредоносная платформа Winos 4.0. Тогда рассылка имитировала официальные уведомления от Национального налогового бюро Тайваня. В мае похожую активность Для просмотра ссылки Войди или Зарегистрируйся специалисты Rapid7.

Сейчас же исследователи Fortinet Для просмотра ссылки Войди или Зарегистрируйся вредоносного ПО, подтверждающие, что Silver Fox продолжает свои атаки, используя заражённые PDF-файлы и ZIP-архивы, рассылаемые через фишинговые письма.

В большинстве случаев документы Для просмотра ссылки Войди или Зарегистрируйся , клик по которому инициирует загрузку ZIP-архива с вредоносным содержимым. Архив включает в себя как легитимные исполняемые файлы, так и загрузчики шелл-кода и зашифрованный вредоносный код. Вся структура заражения устроена в несколько этапов. На первом этапе загрузчик расшифровывает и исполняет DLL-файлы, маскируя вредоносное поведение под обычное поведение легитимного ПО. Используется приём Для просмотра ссылки Войди или Зарегистрируйся , при котором вредоносная библиотека подгружается доверенным исполняемым файлом.

Промежуточные этапы атаки включают обход виртуальных сред, проверку на наличие средств анализа и использование механизмов повышения привилегий. Это позволяет вредоносному ПО избежать обнаружения и работать в полной мере на целевой системе.

Финальной стадией заражения становится выполнение файла под именем «msgDb.dat». Этот модуль организует связь с управляющим сервером, собирает сведения о жертве, а также может загружать дополнительные компоненты, включая средства для управления файлами и удалённого доступа к рабочему столу.

Fortinet также отмечает, что злоумышленники начали распространять Для просмотра ссылки Войди или Зарегистрируйся через PDF-документы, ведущие на страницы загрузки HTM-документов, откуда пользователи подталкиваются к скачиванию заражённых архивов. По словам исследователей, структура этих атак насыщена множеством фрагментов шелл-кода и загрузчиков, что существенно усложняет анализ и отслеживание.

Gh0stCringe и HoldingHands являются модификациями известного трояна удалённого доступа Для просмотра ссылки Войди или Зарегистрируйся , активно используемого хакерскими группами, связанными с Китаем. Последняя кампания Silver Fox APT подтверждает устойчивую тенденцию к технической эволюции и всё более изощрённым методам доставки вредоносного кода.