SOC Prime Bias: Критичний

30 Dec 2025 13:52 UTC

Сріблястий Лис націлений на Індію з фішинговими приманками на тему податків

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Сріблястий Лис націлений на Індію з фішинговими приманками на тему податків
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Китайська група APT під назвою Silver Fox проводить фішингову кампанію з темою податків проти індійських організацій. Початковий електронний лист містить PDF, який перенаправляє жертву на шкідливий домен і запускає завантаження ZIP-файлу. ZIP містить інсталятор NSIS, який встановлює Thunder.exe і шкідливий libexpat.dll, що виконує викрадення DLL, перевірки на аналіз і завантажує зашифрований shellcode. Остаточний етап — це Valley RAT, який отримує конфігурацію зі складної багаторівневої C2 інфраструктури.

Розслідування

Звіт детально розглядає чотири етапи: (1) доставка ZIP через PDF-ловушку, (2) виконання інсталятора NSIS, що встановлює Thunder.exe і libexpat.dll, (3) завантажувач shellcode, згенерований Donut, який впорскує код у explorer.exe, і (4) розгортання Valley RAT з постійністю на основі регістру і модульними плагінами. Аналіз включає статичний і динамічний розгляд бінарних файлів, вибірку доменів C2 і зіставлення з техніками ATT&CK.

Захист

Захисникам слід контролювати підписані двійкові файли, які завантажують непідписані DLL із тимчасових розташувань, записи в реєстрі під HKCUConsole і ненормальне створення пам’яті PAGE_EXECUTE_READWRITE в explorer.exe. Блокування відомих доменів C2 та IP, а також виявлення поведінки з багаторівневим резервним виконанням зменшить екпозицію. Реалізуйте строгий контроль застосунків і виявлення уникання пісочниці, щоб зупинити початковий інсталятор NSIS.

Відповідь

Коли виявлено індикатор, ізолюйте уражену хосту, зберіть волатильну пам’ять для аналізу впорскування процесу і шукайте ключі реєстру та плагіни Valley RAT. Блокуйте всю виявлену C2 інфраструктуру і скидайте скомпроментовані облікові дані. Проведіть повний судовий огляд, щоб виявити будь-які додаткові плагіни або інструменти горизонтального переміщення.

Потік атаки

Виявлення

Можливі точки збереження [ASEPs – Реєстр/Вулик NTUSER] (через подію реєстру)

Команда SOC Prime
30 грудня 2025

Підозрілий командний і контрольний запит за незвичайним доменом верхнього рівня (TLD) (через DNS)

Команда SOC Prime
30 грудня 2025

Підозрілий процес без аргументів (через командний рядок)

Команда SOC Prime
30 грудня 2025

Індикатори (SourceIP) для виявлення: Silver Fox націлює Індію, використовуючи фішингові приманки з темою податків

Правила AI від SOC Prime
30 грудня 2025

Індикатори (HashSha256) для виявлення: Silver Fox націлює Індію, використовуючи фішингові приманки з темою податків

Правила AI від SOC Prime
30 грудня 2025

Індикатори (DestinationIP) для виявлення: Silver Fox націлює Індію, використовуючи фішингові приманки з темою податків

Правила AI від SOC Prime
30 грудня 2025

Виявлення викрадення DLL через Thunder.exe і впорскування процесу у Explorer.exe [Створення процесу Windows]

Правила AI від SOC Prime
30 грудня 2025

Виконання симуляції

Передумова: Телеметрія та перевірка базового профілю повинні бути пройдені.

Мотивація: У цьому розділі докладно описано точне виконання техніки супротивника (TTP), призначеної для ініціації правила виявлення. Команди і наратив повинні прямо відображати ідентифіковані TTP і прагнути генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призведуть до невірних діагнозів.

  • Наратив атаки та команди:
    Супротивник надає шкідливий DLL разом з встановленим “Thunder.exe” жертві %TEMP% каталог. Щоб уникнути підозри користувача, навантаження запускається через вже запущену explorer.exe процес, використовуючи Windows ShellExecute API, що призводить до події створення процесу де explorer.exe з’являється як батько. Шкідливий Thunder.exe пізніше завантажує шкідливий DLL (викрадення DLL) та впорскує shellcode у explorer.exe процес (впорскування процесу), досягаючи виконання коду з токеном користувача.

  • Скрипт регресійного тестування:

    # -------------------------------------------------
    # Скрипт регресії для ініціювання виявлення Sigma
    # -------------------------------------------------
    # 1. Підготувати підроблений Thunder.exe (копія notepad.exe)
    $tempDir   = "$env:TEMP"
    $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe"
    Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force
    
    # 2. (Опціонально) Скинути шкідливий DLL поруч із ним для імітації викрадення
    $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll"
    # Для демонстрації ми просто створюємо пустий файл; у реальному тесті це був би оброблений DLL.
    New-Item -Path $malDll -ItemType File -Force | Out-Null
    
    # 3. Запустити Thunder.exe через explorer.exe, використовуючи ShellExecute (імітується з Start-Process -Verb RunAs)
    $explorer = (Get-Process -Name explorer).Id
    # Використовувати PowerShell для запуску процесу з explorer як батьком (вимагає низькорівневого API; тут ми приближаємо)
    Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null
    
    # 4. Зачекати короткий період, щоб дозволити генерувати логи
    Start-Sleep -Seconds 5
    
    # 5. Очищення (виконується в наступному розділі)
  • Команди очищення:

    # -------------------------------------------------
    # Очищення після симуляції
    # -------------------------------------------------
    # Видалити підроблений Thunder.exe та фіктивний DLL з %TEMP%
    Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue
    
    # Опційно завершити будь-які залишкові процеси Thunder.exe
    Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force