Silver Fox nutzt gefälschte Steuerbescheide, um ValleyRAT und neue ABCDoor-Hintertüren zu verbreiten

Sicherheitslage und Risiko

Sobald das Opfer den Download-Link im Phishing-PDF anklickt, lädt es ein komprimiertes Archiv herunter, das einen modifizierten, auf Rust basierenden Loader namens RustSL enthält. Angriffs-Kette (Quelle – Securelist). Silver Fox bezog den Quellcode dieses Loaders aus einem öffentlichen GitHub-Repository und modifizierte ihn erheblich.

Die angepasste Version, die als Silver Fox RustSL bezeichnet wird, enthält ein neues Modul namens steganography.rs, das für das Entpacken ändig ist. Zusätzlich gibt es ein guard.rs-Modul, das Umgebungsprüfungen und länderspezifisches Geofencing durchführt.

Dies stellt sicher, dass die Malware nur auf Geräten in Ziel-Ländern ausgeführt wird, darunter Indien, Russland, Indonesien, Südafrika, Kambodscha und später Japan. Screenshot der Beschreibung vom RustSL Loader GitHub Project (Quelle – Securelist). Der Loader ist mit einem PDF- oder Excel-Dateisymbol getarnt, um Verdachtsmomente zu vermeiden.

Technischer Hintergrund

Wenn der Benutzer ihn ausführt, lädt RustSL einen verschlüsselten Payload, der als Shellcode fungiert. Dieser Shellcode lädt anschließend ein verschlüsseltes ValleyRAT-Modul namens „Online module“ vom Server der Angreifer herunter.

Das Online module lädt die Kernkomponente, das „Login module“, welches die C2-Kommunikation verwaltet, Befehle ausführt und weitere Payloads herunterlädt. Ein solcher zusätzlicher Payload ist ein benutzerdefinierter ValleyRAT-Plugin namens 保86.dll, der als Downloader für ABCDoor fungiert.

Inhalte des 111.zip Archivs (Quelle – Securelist) ABCDoor ist ein Python-basischer Backdoor, der mit Cython 3.0.7 kompiliert wurde, was dazu beiträgt, seinen Quellcode zu verschleiern.

Sicherheitslage und Risiko

Er wird zusammen mit einer gebündelten Python-Umgebung und einer Kopie es sich um ein legitimes Audio- und Video-Tool, das die Malware für Screen-Captures und das Streaming missbraucht.

Sobald ABCDoor aktiv ist, etabliert es die Persistenz auf zwei Arten: indem es sich in den Windows-Registry-Schlüssel Run schreibt und indem es eine geplante Aufgabe mit dem Namen „AppClient“ erstellt, die es jede Minute neu startet.

Es tarnt seinen Installationspfad unter C:\ProgramData\Tailscale, um den Namen des legitimen Tailscale VPN-Dienstprogramms zu imitieren und sich so im System einzufügen und Analysten zu täuschen. Silver Fox RustSL führt außerdem eine Technik namens Phantom Persistence ein.

Sicherheitslage und Risiko

Diese fängt Systemabschaltbefehle ab, bricht den Shutdown ab und löst einen Neustart aus. Dieser Neustart führt den Loader erneut aus und stellt so sicher, dass die Malware auch nach Neustarts aktiv bleibt. ABCDoor läuft innerhalb eines legitimen pythonw.exe-Prozesses und kann so über längere Zeiträume verborgen bleiben.

Währenddessen sammelt es leise Bildschirmdaten, exfiltriert den Inhalt der Zwischenablage, verwaltet Dateien und emuliert Maus- und Tastatureingaben auf dem Gerät des Opfers.

Organisationen wird dringend geraten, ihre Mitarbeiter darin zu schulen, E-Mails, die angeblich örden stammen, zu überprüfen, bevor sie Anhänge herunterladen oder eingebettete Links anklicken.

Technik und Auswirkungen

E-Mail-Sicherheitslösungen sollten so konfiguriert werden, dass sie PDF-Dateien mit externen Download-Links kennzeichnen und analysieren, und nicht nur direkte Datei-Anhänge.

Die berwachung ungewhnlicher Registry-nderungen, geplanter Aufgaben mit dem Namen AppClient, die Erstellung C:\ProgramData\Tailscale und ausgehender Verbindungen zu dritten abc-Subdomains kann helfen, diese Bedrohung frhzeitig zu erkennen.

Jeder verdchtige Einsatz oder unerklrliche ffmpeg.exe-Aktivitt auf Endpunkten sollte ebenfalls als potenzieller Indikator fr eine ABCDoor-Infektion betrachtet werden. Sie uns auf