Silver Fox verpackt ValleyRAT in ZPAQ und einem ByteDance-Binärdatei: Ein Telegram Chinesisches Sprachpaket MSI-Köder

Zusammenfassung

Ein bösartiger MSI-Installer, der sich als chinesisches Telegram-Sprachpaket tarnt, liefert eine vielschichtige Infektionskette, die ValleyRAT, ein BYOVD-basiertes Kernel-Rootkit, und eine signierte ByteDance-Anwendung umfasst, die für DLL-Sideloading missbraucht wird. Der Installer missbraucht auch das legitime zpaqfranz-Archivierungsprogramm als Living-off-the-Land-Binary und setzt den anfälligen wnBios-Treiber ein, um Zugriff auf den physischen Speicher zu erlangen. Forscher verknüpften die Infrastruktur hinter der Operation mit CTG Server Ltd in Hongkong und wiesen die Aktivität der Silver Fox APT-Gruppe zu. Die Kampagne scheint auf chinesischsprachige Benutzer in mehreren Ländern in der Asien-Pazifik-Region abzuzielen.

Untersuchung

Forscher rekonstruierten den vollständigen Angriffsfluss, beginnend mit der benutzerdefinierten MSI-Aktion und fortsetzend mit der Extraktion von ZPAQ-Archiven, dem selektiven Einsatz des ByteDance SodaMusicLauncher-Binaries für DLL-Sideloading und der Bereitstellung des wnBios-Kerneltreibers. Die Analyse eingebetteter Konfigurationsdaten enthüllte Betreiberkennungen und Details zu Kommando- und Kontrollstrukturen. Die unterstützende Infrastruktur war mit bulletproof Hosting verbunden, das zuvor mit Silver Fox in Verbindung gebracht wurde. Ermittler deckten auch Persistenztechniken und antivirusbewusste Umgehungslogik auf, die während der gesamten Eindringkette verwendet wurden.

Abschwächung

Verhindern Sie die Ausführung der zpaqfranz-Binärdatei außerhalb genehmigter Backup- oder Entwicklungsumgebungen und überwachen Sie MSI-Installationen, die auf benutzerdefinierte Aktionen von VBScript angewiesen sind, genau. Begrenzen Sie die Erstellung des AppShellElevationService und erkennen Sie unsignierte DLLs, die neben vertrauenswürdigen signierten Binärdateien platziert werden. Blockieren Sie die ausgehende Kommunikation zum identifizierten /21-Netzwerkbereich, der von CTG Server Ltd betrieben wird, und verweigern Sie den Datenverkehr über den benutzerdefinierten C2-Port 5040. Stärken Sie hostbasierte Schutzmaßnahmen gegen die bösartigen Dateinamen und Prozessnamen, die in dieser Kampagne beobachtet wurden.

Reaktion

Implementieren Sie Erkennungen für die identifizierten Dateien, gestarteten Prozesse und verdächtigen Diensteerstellungsereignisse. Führen Sie Suchläufe nach dem anfälligen Kerneltreiber und der charakteristischen XOR-basierten Entschlüsselungslogik der Malware durch. Isolieren Sie potenziell betroffene Systeme, sammeln Sie Arbeitsspeicherabbilder für eine tiefere Rootkit-Untersuchung und setzen Sie alle während des Kompromisses aufgedeckten Anmeldeinformationen zurück. Threat-Intelligence-Teams sollten die CTG Server-Infrastruktur weiterhin auf zugehörige Folgeaktivitäten überwachen.

Simulationsexekution

Voraussetzung: Die Telemetrie- und Basislinien-Vorabkontrolle muss bestanden haben.

Begründung: Dieser Abschnitt erläutert die präzise Ausführung der Angreifertechnik (TTP), die zur Auslösung der Erkennungsregel entwickelt wurde. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

• Angriffserzählung & Befehle:

  Der Bedrohungsakteur erhält einen Spear-Phishing-Link (T1566.002), der zpaqfranz.exe auf den Arbeitsplatz des Opfers abwirft. Die Binärdatei ist ein legitim aussehendes Kompressionstool, das als LOLBin (T1036) umgenutzt wurde. Der Angreifer startet es dann über PowerShell (T1059.001) mit einer versteckten Befehlszeile, die das Tool anweist, ein gepacktes ValleyRAT-Payload zu dekomprimieren (T1027) und auszuführen. Der Prozess läuft im Kontext des aktuellen Benutzers und erzeugt ein Windows-Prozess-Erstellungsereignis, das den Regeln Image|endswith 'zpaqfranz.exe' Bedingung entspricht.

  Schritt für Schritt:

  1. Staging der bösartigen Binärdatei in %TEMP%.
  2. Ausführen der Binärdatei mit PowerShell und Übergabe eines Dummy-Arguments (-extract) zur Nachahmung der realen Payload.
  3. Halten Sie den Prozess für einen kurzen Zeitraum aufrecht und beenden Sie ihn dann.

• Regressionstestskript:

  # Silver Fox LOLBin-Ausführungssimulation
  $tempPath = "$env:TEMPzpaqfranz.exe"
  
  # 1. Kopieren Sie eine harmlose ausführbare Datei, um sie als bösartiges LOLBin zu tarnen
  #    (In einem echten Test würden Sie die tatsächliche bösartige Binärdatei ablegen.)
  Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force
  
  # 2. Führen Sie das LOLBin über PowerShell aus (Simulation von T1059.001)
  $args = "-extract C:Temppayload.bin"
  Write-Host "Launching $tempPath $args"
  Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow
  
  # 3. Warten Sie einige Sekunden, um sicherzustellen, dass das Ereignis protokolliert wird
  Start-Sleep -Seconds 5
  
  # 4. Optional: Bereinigen simulieren (löschte die abgelegte Binärdatei)
  Remove-Item -Path $tempPath -Force

• Bereinigungskommandos:

  # Entfernen Sie alle verbleibenden Artefakte aus der Simulation
  $tempPath = "$env:TEMPzpaqfranz.exe"
  if (Test-Path $tempPath) { Remove-Item $tempPath -Force }
  
  # Beenden Sie unbeabsichtigt gestartete calc.exe-Prozesse
  Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force