Silberfuchs zielt mit steuerbezogenen Phishing-Ködern auf Indien ab
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine chinesische APT-Gruppe namens Silver Fox führt eine steuerbezogene Phishing-Kampagne gegen indische Einheiten durch. Die anfängliche E-Mail enthält ein PDF, das die Opfer zu einer bösartigen Domain weiterleitet und den Download einer ZIP-Datei auslöst. Die ZIP-Datei enthält einen NSIS-Installer, der Thunder.exe und eine bösartige libexpat.dll ablegt, welche DLL-Hijacking, Anti-Analyse-Prüfungen durchführt und verschlüsselten Shellcode lädt. Die endgültige Nutzlast ist ein Valley RAT, das Konfigurationen von einer mehrstufigen C2-Infrastruktur erhält.
Untersuchung
Der Bericht beschreibt vier Phasen: (1) Zustellung einer ZIP-Datei über einen PDF-Köder, (2) Ausführung eines NSIS-Installers, der Thunder.exe und libexpat.dll ablegt, (3) einen von Donut generierten Shellcode-Loader, der in Explorer.exe injiziert, und (4) Einsatz eines Valley RAT mit registrierungsbasierter Persistenz und modularen Plugins. Die Analyse umfasst statische und dynamische Untersuchung der Binärdateien, die Aufzählung von C2-Domains und die Zuordnung zu ATT&CK-Techniken.
Minderung
Verteidiger sollten signierte Binärdateien überwachen, die unsignierte DLLs aus temporären Verzeichnissen laden, Schreibvorgänge in der Registrierung unter HKCUConsole und ungewöhnliches Erstellen von PAGE_EXECUTE_READWRITE-Speicher in Explorer.exe. Bekannte C2-Domains und IPs zu blockieren und Multi-Tier-Fallback-Verhalten zu erkennen, wird die Exposition reduzieren. Implementieren Sie strenge Anwendungskontrollen und Sandkasten-Ausweichungs-Erkennungen, um den anfänglichen NSIS-Installer zu stoppen.
Reaktion
Wenn ein Indikator beobachtet wird, isolieren Sie den betroffenen Host, sammeln Sie flüchtigen Speicher für die Analyse von Prozessinjektionen und suchen Sie nach Valley RAT-Registrierungsschlüsseln und Plugins. Blockieren Sie alle identifizierten C2-Infrastrukturen und setzen Sie kompromittierte Anmeldedaten zurück. Führen Sie eine vollständige forensische Überprüfung durch, um zusätzliche Plugins oder Lateral-Movement-Tools zu identifizieren.
Angriffsfluss
Erkennungen
Mögliche Persistenzpunkte [ASEPs – Software/NTUSER Hive] (über registry_event)
Ansehen
Verdächtiger Befehl und Kontrolle durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via dns)
Ansehen
Verdächtiger Prozess ohne Argumente (via cmdline)
Ansehen
IOCs (SourceIP) zur Erkennung: Silver Fox zielt auf Indien mit steuerbezogenen Phishing-Ködern
Ansehen
IOCs (HashSha256) zur Erkennung: Silver Fox zielt auf Indien mit steuerbezogenen Phishing-Ködern
Ansehen
IOCs (DestinationIP) zur Erkennung: Silver Fox zielt auf Indien mit steuerbezogenen Phishing-Ködern
Ansehen
Erkennung von DLL-Hijacking über Thunder.exe und Prozessinjektion in Explorer.exe [Windows Prozess-Erstellung]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
Ein Angreifer liefert eine bösartige DLL zusammen mit einem abgelegten „Thunder.exe“ an den Ordner des Opfers%TEMP%. Um die Verdächtigung des Benutzers zu vermeiden, wird die Nutzlast über das bereits laufendeexplorer.exe-Prozess mit der WindowsShellExecuteAPI gestartet, was zu einem Prozesserstellungsereignis führt, bei demexplorer.exeals Eltern erscheint. Das bösartigeThunder.exelädt anschließend die bösartige DLL (DLL-Hijacking) und injiziert Shellcode in denexplorer.exeProzess (Prozessinjektion), was eine Codeausführung mit dem Token des Benutzers erreicht. -
Regressionstest-Skript:
# ------------------------------------------------- # Regressionsskript, um die Sigma-Erkennung auszulösen # ------------------------------------------------- # 1. Erstellen Sie eine gefälschte Thunder.exe (Kopie von notepad.exe) $tempDir = "$env:TEMP" $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe" Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force # 2. (Optional) Legen Sie eine bösartige DLL daneben, um Hijacking nachzuahmen $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll" # Zur Demonstration erstellen wir einfach eine leere Datei; in einem echten Test wäre dies eine ausgearbeitete DLL. New-Item -Path $malDll -ItemType File -Force | Out-Null # 3. Starten Sie Thunder.exe über explorer.exe mit ShellExecute (simuliert mit Start-Process -Verb RunAs) $explorer = (Get-Process -Name explorer).Id # Verwenden Sie PowerShell, um den Prozess mit explorer als übergeordnetem Element zu starten (erfordert Low-Level-API; hier approximieren wir) Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null # 4. Warten Sie eine kurze Zeit, damit Protokolle generiert werden können Start-Sleep -Seconds 5 # 5. Aufräumen (im nächsten Abschnitt behandelt) -
Aufräumbefehle:
# ------------------------------------------------- # Aufräumen nach der Simulation # ------------------------------------------------- # Entfernen Sie die gefälschte Thunder.exe und die ausgeführte DLL aus %TEMP% Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue # Optionale Beendigung noch laufender Thunder.exe-Prozesse Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force