Silver Fox Avvolge ValleyRAT in ZPAQ e un Binario ByteDance: Un Pacchetto Lingua Cinese di Telegram MSI Come Esca
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un installer MSI rogue che si presenta come un pacchetto linguistico cinese di Telegram distribuisce una catena di infezione stratificata che coinvolge ValleyRAT, un rootkit del kernel basato su BYOVD e un eseguibile firmato di ByteDance abusato per il DLL sideloading. L’installer sfrutta anche l’utilità di archiviazione legittima zpaqfranz come un binario living-off-the-land e distribuisce il driver vulnerabile wnBios per ottenere l’accesso alla memoria fisica. I ricercatori hanno collegato l’infrastruttura dietro l’operazione alla CTG Server Ltd di Hong Kong e hanno attribuito l’attività al gruppo APT Silver Fox. La campagna sembra mirata a utenti di lingua cinese in diversi paesi della regione Asia-Pacifico.
Indagine
I ricercatori hanno ricostruito il flusso completo dell’attacco, a partire dall’azione personalizzata MSI e continuando attraverso l’estrazione degli archivi ZPAQ, l’uso selettivo del binario ByteDance SodaMusicLauncher per il DLL sideloading e la distribuzione del driver kernel wnBios. L’analisi dei dati di configurazione incorporati ha rivelato identificatori degli operatori e dettagli di comando e controllo. L’infrastruttura di supporto era collegata a un hosting a prova di proiettile precedentemente associato a Silver Fox. Gli investigatori hanno anche scoperto tecniche di persistenza e logiche di evasione consapevoli degli antivirus utilizzate in tutta la catena di intrusione.
Mitigazione
Previeni l’esecuzione del binario zpaqfranz al di fuori degli ambienti di backup o di sviluppo approvati e monitora da vicino le installazioni MSI che si basano su azioni personalizzate con VBScript. Limita la creazione dell’AppShellElevationService e rileva DLL non firmati posizionati accanto a binari firmati affidabili. Blocca la comunicazione in uscita verso l’intervallo di rete /21 identificato operato da CTG Server Ltd e nega il traffico sulla porta C2 personalizzata 5040. Rafforza le protezioni basate su host contro i nomi file e i nomi dei processi dannosi osservati in questa campagna.
Risposta
Distribuisci rilevamenti per i file identificati, processi generati ed eventi di creazione di servizi sospetti. Conduci ricerche per il driver kernel vulnerabile e la logica di decrittazione distintiva basata su XOR del malware. Isola i sistemi potenzialmente interessati, raccogli immagini di memoria per un’indagine più approfondita del rootkit e reimposta tutte le credenziali esposte durante la compromissione. I team di intelligence delle minacce dovrebbero continuare a monitorare l’infrastruttura di CTG Server per eventuali attività di follow-on correlate.
Flusso di Attacco
Rilevamenti
Possibili Indicatori di Offuscamento Powershell (via powershell)
Visualizza
Chiama Classi/Metodi .NET Sospetti dalla CommandLine di Powershell (via process_creation)
Visualizza
Controllo Comando e Controllo Sospetto per Richiesta DNS con Dominio di Livello Superiore (TLD) Insolito (via dns)
Visualizza
Possibile Tentativo di Comunicazione di Lookup Domini IP (via dns)
Visualizza
Chiama Metodi .NET Sospetti da Powershell (via powershell)
Visualizza
IOC (HashSha256) per rilevare: Silver Fox Incapsula ValleyRAT in ZPAQ e un Binario ByteDance: Esca MSI di Pacchetto Linguistico Cinese di Telegram
Visualizza
IOC (HashMd5) per rilevare: Silver Fox Incapsula ValleyRAT in ZPAQ e un Binario ByteDance: Esca MSI di Pacchetto Linguistico Cinese di Telegram
Visualizza
IOC (DestinationIP) per rilevare: Silver Fox Incapsula ValleyRAT in ZPAQ e un Binario ByteDance: Esca MSI di Pacchetto Linguistico Cinese di Telegram
Visualizza
IOC (SourceIP) per rilevare: Silver Fox Incapsula ValleyRAT in ZPAQ e un Binario ByteDance: Esca MSI di Pacchetto Linguistico Cinese di Telegram
Visualizza
Rileva Eventi di Caricamento del Driver del Kernel con wnBios per Accesso alla Memoria Fisica [Caricamento Immagine Windows]
Visualizza
Rileva Esecuzione di Binari Dannosi Usati dall’APT di Silver Fox [Creazione Processo Windows]
Visualizza
Comunicazione C2 ValleyRAT sulla Porta 5040 [Connessione di Rete Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrazione & Comandi di Attacco:
L’attore della minaccia riceve un link spear-phishing (T1566.002) che scarica
zpaqfranz.exesulla workstation della vittima. Il binario è uno strumento di compressione dall’aspetto legittimo riutilizzato come LOLBin (T1036). L’aggressore quindi lo lancia tramite PowerShell (T1059.001) con una riga di comando nascosta che istruisce lo strumento a decomprimere un payload ValleyRAT impacchettato (T1027) ed eseguirlo. Il processo viene eseguito nel contesto utente corrente, generando un evento di creazione processo di Windows che corrisponde allaImage|endswith 'zpaqfranz.exe'condizione.Passo dopo passo:
- Posiziona il binario dannoso in
%TEMP%. - Esegui il binario con PowerShell, passando un argomento fittizio (
-extract) per imitare il payload reale. - Mantieni il processo per un breve periodo, quindi uscire.
- Posiziona il binario dannoso in
-
Script di Test di Regressione:
# Simulazione di Esecuzione LOLBin Silver Fox $tempPath = "$env:TEMPzpaqfranz.exe" # 1. Copia un eseguibile benigno per mascherarsi come LOLBin dannoso # (In un vero test farai cadere il binario dannoso effettivo.) Copy-Item -Path "$env:SystemRootSystem32calc.exe" -Destination $tempPath -Force # 2. Esegui il LOLBin tramite PowerShell (simulando T1059.001) $args = "-extract C:Temppayload.bin" Write-Host "Launching $tempPath $args" Start-Process -FilePath $tempPath -ArgumentList $args -NoNewWindow # 3. Aspetta qualche secondo per assicurarti che l'evento sia registrato Start-Sleep -Seconds 5 # 4. Opzionale: simula la pulizia (elimina il binario rilasciato) Remove-Item -Path $tempPath -Force -
Comandi di Pulizia:
# Rimuovi eventuali artefatti residui dalla simulazione $tempPath = "$env:TEMPzpaqfranz.exe" if (Test-Path $tempPath) { Remove-Item $tempPath -Force } # Termina i processi calc.exe straordinari che potrebbero essere stati avviati involontariamente Get-Process -Name "calc" -ErrorAction SilentlyContinue | Stop-Process -Force