SOC Prime Bias: Kritisch

30 Dec 2025 13:52 UTC

Silberfuchs zielt mit steuerbezogenen Phishing-Ködern auf Indien ab

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Silberfuchs zielt mit steuerbezogenen Phishing-Ködern auf Indien ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine chinesische APT-Gruppe namens Silver Fox führt eine steuerbezogene Phishing-Kampagne gegen indische Einheiten durch. Die anfängliche E-Mail enthält ein PDF, das die Opfer zu einer bösartigen Domain weiterleitet und den Download einer ZIP-Datei auslöst. Die ZIP-Datei enthält einen NSIS-Installer, der Thunder.exe und eine bösartige libexpat.dll ablegt, welche DLL-Hijacking, Anti-Analyse-Prüfungen durchführt und verschlüsselten Shellcode lädt. Die endgültige Nutzlast ist ein Valley RAT, das Konfigurationen von einer mehrstufigen C2-Infrastruktur erhält.

Untersuchung

Der Bericht beschreibt vier Phasen: (1) Zustellung einer ZIP-Datei über einen PDF-Köder, (2) Ausführung eines NSIS-Installers, der Thunder.exe und libexpat.dll ablegt, (3) einen von Donut generierten Shellcode-Loader, der in Explorer.exe injiziert, und (4) Einsatz eines Valley RAT mit registrierungsbasierter Persistenz und modularen Plugins. Die Analyse umfasst statische und dynamische Untersuchung der Binärdateien, die Aufzählung von C2-Domains und die Zuordnung zu ATT&CK-Techniken.

Minderung

Verteidiger sollten signierte Binärdateien überwachen, die unsignierte DLLs aus temporären Verzeichnissen laden, Schreibvorgänge in der Registrierung unter HKCUConsole und ungewöhnliches Erstellen von PAGE_EXECUTE_READWRITE-Speicher in Explorer.exe. Bekannte C2-Domains und IPs zu blockieren und Multi-Tier-Fallback-Verhalten zu erkennen, wird die Exposition reduzieren. Implementieren Sie strenge Anwendungskontrollen und Sandkasten-Ausweichungs-Erkennungen, um den anfänglichen NSIS-Installer zu stoppen.

Reaktion

Wenn ein Indikator beobachtet wird, isolieren Sie den betroffenen Host, sammeln Sie flüchtigen Speicher für die Analyse von Prozessinjektionen und suchen Sie nach Valley RAT-Registrierungsschlüsseln und Plugins. Blockieren Sie alle identifizierten C2-Infrastrukturen und setzen Sie kompromittierte Anmeldedaten zurück. Führen Sie eine vollständige forensische Überprüfung durch, um zusätzliche Plugins oder Lateral-Movement-Tools zu identifizieren.

Angriffsfluss

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der Gegnertechnik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Ein Angreifer liefert eine bösartige DLL zusammen mit einem abgelegten „Thunder.exe“ an den Ordner des Opfers %TEMP% . Um die Verdächtigung des Benutzers zu vermeiden, wird die Nutzlast über das bereits laufende explorer.exe -Prozess mit der Windows ShellExecute API gestartet, was zu einem Prozesserstellungsereignis führt, bei dem explorer.exe als Eltern erscheint. Das bösartige Thunder.exe lädt anschließend die bösartige DLL (DLL-Hijacking) und injiziert Shellcode in den explorer.exe Prozess (Prozessinjektion), was eine Codeausführung mit dem Token des Benutzers erreicht.

  • Regressionstest-Skript:

    # -------------------------------------------------
    # Regressionsskript, um die Sigma-Erkennung auszulösen
    # -------------------------------------------------
    # 1. Erstellen Sie eine gefälschte Thunder.exe (Kopie von notepad.exe)
    $tempDir   = "$env:TEMP"
    $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe"
    Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force
    
    # 2. (Optional) Legen Sie eine bösartige DLL daneben, um Hijacking nachzuahmen
    $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll"
    # Zur Demonstration erstellen wir einfach eine leere Datei; in einem echten Test wäre dies eine ausgearbeitete DLL.
    New-Item -Path $malDll -ItemType File -Force | Out-Null
    
    # 3. Starten Sie Thunder.exe über explorer.exe mit ShellExecute (simuliert mit Start-Process -Verb RunAs)
    $explorer = (Get-Process -Name explorer).Id
    # Verwenden Sie PowerShell, um den Prozess mit explorer als übergeordnetem Element zu starten (erfordert Low-Level-API; hier approximieren wir)
    Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null
    
    # 4. Warten Sie eine kurze Zeit, damit Protokolle generiert werden können
    Start-Sleep -Seconds 5
    
    # 5. Aufräumen (im nächsten Abschnitt behandelt)
  • Aufräumbefehle:

    # -------------------------------------------------
    # Aufräumen nach der Simulation
    # -------------------------------------------------
    # Entfernen Sie die gefälschte Thunder.exe und die ausgeführte DLL aus %TEMP%
    Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue
    
    # Optionale Beendigung noch laufender Thunder.exe-Prozesse
    Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force