Η ομάδα Silver Fox Διαθέτει το Sainbox RAT μέσω Fake Websites
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα Silver Fox Διαθέτει το Sainbox RAT μέσω Fake Websites
https://www.secnews.gr/652341/omada-silver-fox-diathesei-sainbox-rat-meso-fake-websites/
Jun 27th 2025, 18:10
by Absenta Mia
Μια νέα κακόβουλη εκστρατεία έχει παρατηρηθεί να αξιοποιεί ψεύτικες ιστοσελίδες που διαφημίζουν δημοφιλές λογισμικό, όπως τα WPS Office, Sogou και DeepSeek, για να διανείμει το απομακρυσμένο εργαλείο πρόσβασης Sainbox RAT και το ανοιχτού κώδικα rootkit Hidden.
Δείτε επίσης: Νέες παραλλαγές του Chaos RAT επιτίθενται σε συστήματα Windows και Linux
Η δραστηριότητα έχει αποδοθεί με μέτρια βεβαιότητα σε μια κινεζική ομάδα χάκερ γνωστή ως Silver Fox (γνωστή και ως Void Arachne), λόγω ομοιοτήτων στην τεχνική προσέγγισης με προηγούμενες εκστρατείες που της έχουν αποδοθεί.
Οι ιστοσελίδες ηλεκτρονικού «phishing» (όπως το "wpsice[.]com") φαίνεται να διανέμουν κακόβουλους εγκαταστάτες MSI στην κινεζική γλώσσα, υποδεικνύοντας ότι ο στόχος της εκστρατείας είναι Κινεζόφωνοι χρήστες. Δεν είναι η πρώτη φορά που η συγκεκριμένη ομάδα χρησιμοποιεί αυτή τη μεθοδολογία. Τον Ιούλιο του 2024, η eSentire περιέγραψε μια εκστρατεία που στόχευε Κινεζόφωνους χρήστες Windows μέσω ψεύτικων ιστοσελίδων του Google Chrome για τη διανομή του Gh0st RAT.
Νωρίτερα, τον Φεβρουάριο, η Morphisec αποκάλυψε μια ακόμη εκστρατεία που επίσης αξιοποιούσε πλαστές ιστοσελίδες, αυτή τη φορά διαφημίζοντας φυλλομετρητές ιστού, για να διανείμει το ValleyRAT (γνωστό και ως Winos 4.0), μια διαφορετική παραλλαγή του Gh0st RAT.
Δείτε ακόμα: Ψεύτικες σελίδες DocuSign διανέμουν το NetSupport RAT malware
Το ValleyRAT καταγράφηκε για πρώτη φορά από την Proofpoint τον Σεπτέμβριο του 2023, ως μέρος εκστρατείας που στόχευε επίσης Κινεζόφωνους χρήστες με τα κακόβουλα προγράμματα Sainbox RAT και Purple Fox.
Στο πιο πρόσφατο κύμα επιθέσεων που εντοπίστηκε από τη Netskope, οι κακόβουλοι εγκαταστάτες MSI που κατεβαίνουν από τις ιστοσελίδες είναι σχεδιασμένοι να εκτελούν ένα νόμιμο αρχείο με το όνομα "shine.exe", το οποίο χρησιμοποιεί την τεχνική DLL side-loading για να φορτώσει ένα κακόβουλο αρχείο DLL με όνομα "libcef.dll".
Ο βασικός σκοπός του DLL είναι να εξάγει shellcode από ένα αρχείο κειμένου με την ονομασία "1.txt" που περιλαμβάνεται στον εγκαταστάτη και στη συνέχεια να τον εκτελεί. Η διαδικασία αυτή οδηγεί τελικά στην εκτέλεση ενός ακόμη κακόβουλου DLL, που αποτελεί ένα εργαλείο απομακρυσμένης πρόσβασης (RAT) με την ονομασία Sainbox.
Ενώ το Sainbox διαθέτει λειτουργίες για λήψη επιπλέον κακόβουλων φορτίων και κλοπή δεδομένων, το Hidden προσφέρει στους επιτιθέμενους μια σειρά από μηχανισμούς απόκρυψης, επιτρέποντάς τους να κρύβουν διεργασίες σχετικές με κακόβουλο λογισμικό καθώς και κλειδιά του Μητρώου των Windows (Windows Registry) στους μολυσμένους υπολογιστές.
Δείτε επίσης: Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
Η χρήση εργαλείων όπως το Sainbox RAT και το Hidden rootkit δείχνει ότι ο απώτερος σκοπός των επιθέσεων δεν είναι μόνο η αρχική παραβίαση αλλά και η διατήρηση πρόσβασης στο σύστημα (persistence) και η συλλογή πληροφοριών σε βάθος χρόνου — χαρακτηριστικά μιας κατασκοπευτικής εκστρατείας (cyber espionage).
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα Silver Fox Διαθέτει το Sainbox RAT μέσω Fake Websites
https://www.secnews.gr/652341/omada-silver-fox-diathesei-sainbox-rat-meso-fake-websites/
Jun 27th 2025, 18:10
by Absenta Mia
Μια νέα κακόβουλη εκστρατεία έχει παρατηρηθεί να αξιοποιεί ψεύτικες ιστοσελίδες που διαφημίζουν δημοφιλές λογισμικό, όπως τα WPS Office, Sogou και DeepSeek, για να διανείμει το απομακρυσμένο εργαλείο πρόσβασης Sainbox RAT και το ανοιχτού κώδικα rootkit Hidden.
Δείτε επίσης: Νέες παραλλαγές του Chaos RAT επιτίθενται σε συστήματα Windows και Linux
Η δραστηριότητα έχει αποδοθεί με μέτρια βεβαιότητα σε μια κινεζική ομάδα χάκερ γνωστή ως Silver Fox (γνωστή και ως Void Arachne), λόγω ομοιοτήτων στην τεχνική προσέγγισης με προηγούμενες εκστρατείες που της έχουν αποδοθεί.
Οι ιστοσελίδες ηλεκτρονικού «phishing» (όπως το "wpsice[.]com") φαίνεται να διανέμουν κακόβουλους εγκαταστάτες MSI στην κινεζική γλώσσα, υποδεικνύοντας ότι ο στόχος της εκστρατείας είναι Κινεζόφωνοι χρήστες. Δεν είναι η πρώτη φορά που η συγκεκριμένη ομάδα χρησιμοποιεί αυτή τη μεθοδολογία. Τον Ιούλιο του 2024, η eSentire περιέγραψε μια εκστρατεία που στόχευε Κινεζόφωνους χρήστες Windows μέσω ψεύτικων ιστοσελίδων του Google Chrome για τη διανομή του Gh0st RAT.
Νωρίτερα, τον Φεβρουάριο, η Morphisec αποκάλυψε μια ακόμη εκστρατεία που επίσης αξιοποιούσε πλαστές ιστοσελίδες, αυτή τη φορά διαφημίζοντας φυλλομετρητές ιστού, για να διανείμει το ValleyRAT (γνωστό και ως Winos 4.0), μια διαφορετική παραλλαγή του Gh0st RAT.
Δείτε ακόμα: Ψεύτικες σελίδες DocuSign διανέμουν το NetSupport RAT malware
Το ValleyRAT καταγράφηκε για πρώτη φορά από την Proofpoint τον Σεπτέμβριο του 2023, ως μέρος εκστρατείας που στόχευε επίσης Κινεζόφωνους χρήστες με τα κακόβουλα προγράμματα Sainbox RAT και Purple Fox.
Στο πιο πρόσφατο κύμα επιθέσεων που εντοπίστηκε από τη Netskope, οι κακόβουλοι εγκαταστάτες MSI που κατεβαίνουν από τις ιστοσελίδες είναι σχεδιασμένοι να εκτελούν ένα νόμιμο αρχείο με το όνομα "shine.exe", το οποίο χρησιμοποιεί την τεχνική DLL side-loading για να φορτώσει ένα κακόβουλο αρχείο DLL με όνομα "libcef.dll".
Ο βασικός σκοπός του DLL είναι να εξάγει shellcode από ένα αρχείο κειμένου με την ονομασία "1.txt" που περιλαμβάνεται στον εγκαταστάτη και στη συνέχεια να τον εκτελεί. Η διαδικασία αυτή οδηγεί τελικά στην εκτέλεση ενός ακόμη κακόβουλου DLL, που αποτελεί ένα εργαλείο απομακρυσμένης πρόσβασης (RAT) με την ονομασία Sainbox.
Ενώ το Sainbox διαθέτει λειτουργίες για λήψη επιπλέον κακόβουλων φορτίων και κλοπή δεδομένων, το Hidden προσφέρει στους επιτιθέμενους μια σειρά από μηχανισμούς απόκρυψης, επιτρέποντάς τους να κρύβουν διεργασίες σχετικές με κακόβουλο λογισμικό καθώς και κλειδιά του Μητρώου των Windows (Windows Registry) στους μολυσμένους υπολογιστές.
Δείτε επίσης: Η ανάλυση malware αποκαλύπτει εξελιγμένο RAT
Η χρήση εργαλείων όπως το Sainbox RAT και το Hidden rootkit δείχνει ότι ο απώτερος σκοπός των επιθέσεων δεν είναι μόνο η αρχική παραβίαση αλλά και η διατήρηση πρόσβασης στο σύστημα (persistence) και η συλλογή πληροφοριών σε βάθος χρόνου — χαρακτηριστικά μιας κατασκοπευτικής εκστρατείας (cyber espionage).
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz