Silver Fox Avvolge ValleyRAT in ZPAQ e un Binario ByteDance: Un Pacchetto Lingua Cinese di Telegram MSI Come Esca

Sommario

Un installer MSI rogue che si presenta come un pacchetto linguistico cinese di Telegram distribuisce una catena di infezione stratificata che coinvolge ValleyRAT, un rootkit del kernel basato su BYOVD e un eseguibile firmato di ByteDance abusato per il DLL sideloading. L’installer sfrutta anche l’utilità di archiviazione legittima zpaqfranz come un binario living-off-the-land e distribuisce il driver vulnerabile wnBios per ottenere l’accesso alla memoria fisica. I ricercatori hanno collegato l’infrastruttura dietro l’operazione alla CTG Server Ltd di Hong Kong e hanno attribuito l’attività al gruppo APT Silver Fox. La campagna sembra mirata a utenti di lingua cinese in diversi paesi della regione Asia-Pacifico.

Indagine

I ricercatori hanno ricostruito il flusso completo dell’attacco, a partire dall’azione personalizzata MSI e continuando attraverso l’estrazione degli archivi ZPAQ, l’uso selettivo del binario ByteDance SodaMusicLauncher per il DLL sideloading e la distribuzione del driver kernel wnBios. L’analisi dei dati di configurazione incorporati ha rivelato identificatori degli operatori e dettagli di comando e controllo. L’infrastruttura di supporto era collegata a un hosting a prova di proiettile precedentemente associato a Silver Fox. Gli investigatori hanno anche scoperto tecniche di persistenza e logiche di evasione consapevoli degli antivirus utilizzate in tutta la catena di intrusione.

Mitigazione

Previeni l’esecuzione del binario zpaqfranz al di fuori degli ambienti di backup o di sviluppo approvati e monitora da vicino le installazioni MSI che si basano su azioni personalizzate con VBScript. Limita la creazione dell’AppShellElevationService e rileva DLL non firmati posizionati accanto a binari firmati affidabili. Blocca la comunicazione in uscita verso l’intervallo di rete /21 identificato operato da CTG Server Ltd e nega il traffico sulla porta C2 personalizzata 5040. Rafforza le protezioni basate su host contro i nomi file e i nomi dei processi dannosi osservati in questa campagna.

Risposta

Distribuisci rilevamenti per i file identificati, processi generati ed eventi di creazione di servizi sospetti. Conduci ricerche per il driver kernel vulnerabile e la logica di decrittazione distintiva basata su XOR del malware. Isola i sistemi potenzialmente interessati, raccogli immagini di memoria per un’indagine più approfondita del rootkit e reimposta tutte le credenziali esposte durante la compromissione. I team di intelligence delle minacce dovrebbero continuare a monitorare l’infrastruttura di CTG Server per eventuali attività di follow-on correlate.

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

• Narrazione & Comandi di Attacco:

  L’attore della minaccia riceve un link spear-phishing (T1566.002) che scarica zpaqfranz.exe sulla workstation della vittima. Il binario è uno strumento di compressione dall’aspetto legittimo riutilizzato come LOLBin (T1036). L’aggressore quindi lo lancia tramite PowerShell (T1059.001) con una riga di comando nascosta che istruisce lo strumento a decomprimere un payload ValleyRAT impacchettato (T1027) ed eseguirlo. Il processo viene eseguito nel contesto utente corrente, generando un evento di creazione processo di Windows che corrisponde alla Image|endswith 'zpaqfranz.exe' condizione.

  Passo dopo passo:

  1. Posiziona il binario dannoso in %TEMP%.
  2. Esegui il binario con PowerShell, passando un argomento fittizio (-extract) per imitare il payload reale.
  3. Mantieni il processo per un breve periodo, quindi uscire.

• Script di Test di Regressione:

  # Simulazione di Esecuzione LOLBin Silver Fox
  $tempPath = "$env:TEMPzpaqfranz.exe"
  
  # 1. Copia un eseguibile benigno per mascherarsi come LOLBin dannoso
  #    (In un vero test farai cadere il binario dannoso effettivo.)
  Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force
  
  # 2. Esegui il LOLBin tramite PowerShell (simulando T1059.001)
  $args = "-extract C:Temppayload.bin"
  Write-Host "Launching $tempPath $args"
  Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow
  
  # 3. Aspetta qualche secondo per assicurarti che l'evento sia registrato
  Start-Sleep -Seconds 5
  
  # 4. Opzionale: simula la pulizia (elimina il binario rilasciato)
  Remove-Item -Path $tempPath -Force

• Comandi di Pulizia:

  # Rimuovi eventuali artefatti residui dalla simulazione
  $tempPath = "$env:TEMPzpaqfranz.exe"
  if (Test-Path $tempPath) { Remove-Item $tempPath -Force }
  
  # Termina i processi calc.exe straordinari che potrebbero essere stati avviati involontariamente
  Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force