تستهدف مجموعة Silver Fox، المعروفة بنشاطها في مجال الجرائم الإلكترونية، المستخدمين في الهند من خلال رسائل بريد إلكتروني تتعلق بالضرائب. في هذا المقال، نستعرض استراتيجياتهم وأهدافهم.
استهداف مجموعة Silver Fox للمستخدمين في الهند عبر رسائل بريد إلكتروني تتعلق بالضرائب
تحولت مجموعة التهديد المعروفة باسم Silver Fox إلى التركيز على الهند، مستخدمة طُعمًا يتعلق بالضرائب على الدخل في حملات تصيد لتوزيع برنامج خبيث للوصول عن بُعد يسمى ValleyRAT (المعروف أيضًا باسم Winos 4.0).
قال باحثو CloudSEK، براجوال أواستي وكوشيك بال، في تحليل نُشر الأسبوع الماضي: “تستفيد هذه الهجمة المتطورة من سلسلة قتل معقدة تتضمن اختراق DLL وValley RAT المودول لضمان الاستمرارية”.
تُعرف أيضًا باسم SwimSnake وThe Great Thief of Valley (أو Valley Thief) وUTG-Q-1000 وVoid Arachne، يُعتبر Silver Fox اسمًا لمجموعة جرائم إلكترونية عدوانية من الصين نشطت منذ عام 2022.
لديها سجل حافل في تنظيم مجموعة متنوعة من الحملات التي تتراوح دوافعها بين التجسس وجمع المعلومات الاستخباراتية إلى تحقيق مكاسب مالية، تعدين العملات المشفرة، وتعطيل العمليات، مما يجعلها واحدة من القلائل من فرق الاختراق التي تتبنى نهجًا متعدد الجوانب في أنشطتها.
تركز المجموعة بشكل أساسي على الأفراد والمنظمات الناطقة باللغة الصينية، لكن ضحايا Silver Fox قد توسعوا ليشملوا منظمات تعمل في القطاعات العامة والمالية والطبية والتكنولوجية. وقد استغلت الهجمات التي شنتها المجموعة تحسين محركات البحث (SEO) والتصيد لتوزيع متغيرات من Gh0st RAT مثل ValleyRAT وGh0stCringe وHoldingHands RAT (المعروف أيضًا باسم Gh0stBins).
سلسلة الإصابة
في سلسلة الإصابة التي وثقتها CloudSEK، تُستخدم رسائل البريد الإلكتروني المخادعة التي تحتوي على ملفات PDF مزيفة يُزعم أنها من دائرة الضرائب الهندية لنشر ValleyRAT. على وجه التحديد، يؤدي فتح مرفق PDF إلى توجيه المستلم إلى نطاق “ggwk[.]cc”، حيث يتم تنزيل ملف ZIP (“tax affairs.zip”).
تحتوي الأرشيف على مثبت من نظام تثبيت Nullsoft (NSIS) بنفس الاسم (“tax affairs.exe”)، والذي بدوره يستفيد من تنفيذ شرعي مرتبط بـ Thunder (“thunder.exe”)، وهو مدير تنزيل لنظام Windows تم تطويره بواسطة Xunlei، وDLL مزيف (“libexpat.dll”) يتم تحميله جانبيًا بواسطة الثنائي.
يقوم DLL بدوره بتعطيل خدمة تحديث Windows ويعمل كقناة لتحميل Donut، لكن ليس قبل إجراء مجموعة متنوعة من الفحوصات المضادة للتحليل والم sandbox لضمان تشغيل البرمجيات الخبيثة دون عوائق على الجهاز المخترق. ثم يقوم “الهاكر” بحقن الحمولة النهائية لـ ValleyRAT في عملية “explorer.exe” المجوفة.
تم تصميم ValleyRAT للتواصل مع خادم خارجي وانتظار أوامر إضافية. ينفذ هيكلًا قائمًا على المكونات الإضافية لتوسيع وظائفه بطريقة عشوائية، مما يسمح لمشغليه بنشر قدرات متخصصة لتسهيل تسجيل المفاتيح، جمع بيانات الاعتماد، وتفادي الدفاعات.
استراتيجيات Silver Fox
قالت CloudSEK: “تسمح المكونات الإضافية المقيمة في السجل والإشعارات المتأخرة للـ RAT بالبقاء بعد إعادة التشغيل مع الحفاظ على مستوى ضجيج منخفض”. “تتيح تسليم الوحدات عند الطلب جمع بيانات الاعتماد والمراقبة المستهدفة وفقًا لدور الضحية وقيمتها.”
يأتي هذا الكشف في الوقت الذي ذكرت فيه مجموعة NCC أنها حددت لوحة إدارة روابط مكشوفة (“ssl3[.]space”) تُستخدم من قبل Silver Fox لتتبع نشاط التنزيل المتعلق بالمثبتات الضارة لتطبيقات شائعة، بما في ذلك Microsoft Teams، لنشر ValleyRAT. تستضيف الخدمة معلومات تتعلق بـ –
- صفحات الويب التي تستضيف تطبيقات مثبتة خلفية
- عدد النقرات التي يتلقاها زر التنزيل على موقع التصيد يوميًا
- إجمالي عدد النقرات التي تلقاها زر التنزيل منذ الإطلاق
تم العثور على المواقع الوهمية التي أنشأتها Silver Fox لتقليد CloudChat وFlyVPN وMicrosoft Teams وOpenVPN وQieQie وSantiao وSignal وSigua وSnipaste وSogou وTelegram وToDesk وWPS Office وYoudao، من بين آخرين. وقد كشفت تحليل عناوين IP الأصلية التي نقرت على روابط التنزيل أن ما لا يقل عن 217 نقرة جاءت من الصين، تليها الولايات المتحدة (39) وهونغ كونغ (29) وتايوان (11) وأستراليا (7).
قال الباحثون ديلون أشمور وآشر غلوي: “استفادت Silver Fox من تحسين محركات البحث لتوزيع مثبتات خلفية لما لا يقل عن 20 تطبيقًا مستخدمًا على نطاق واسع، بما في ذلك أدوات الاتصال، والشبكات الافتراضية الخاصة، وتطبيقات الإنتاجية”. “تستهدف هذه بشكل أساسي الأفراد والمنظمات الناطقة باللغة الصينية في الصين، مع إصابات تعود إلى يوليو 2025 وضحايا إضافيين عبر منطقة آسيا والمحيط الهادئ وأوروبا وأمريكا الشمالية.”
التوجهات المستقبلية
يتم توزيع عبر هذه المواقع أرشيف ZIP يحتوي على مثبت يعتمد على NSIS مسؤول عن تكوين استثناءات Microsoft Defender Antivirus، وإقامة الاستمرارية باستخدام المهام المجدولة، ثم الوصول إلى خادم بعيد لجلب الحمولة الخاصة بـ ValleyRAT.
تتزامن النتائج مع تقرير حديث من ReliaQuest، الذي نسب مجموعة القراصنة إلى عملية علم زائف تحاكي مجموعة تهديد روسية في هجمات تستهدف المنظمات في الصين باستخدام مواقع طُعم مرتبطة بـ Teams في محاولة لتعقيد جهود التحديد.
قالت مجموعة NCC: “تظهر البيانات من هذه اللوحة مئات النقرات من البر الرئيسي للصين وضحايا عبر منطقة آسيا والمحيط الهادئ وأوروبا وأمريكا الشمالية، مما يؤكد نطاق الحملة واستهدافها الاستراتيجي للمستخدمين الناطقين باللغة الصينية”.
مع تزايد التهديدات السيبرانية، من الضروري أن يكون المستخدمون في الهند على دراية بأساليب التصيد الحديثة وكيفية حماية أنفسهم من البرمجيات الخبيثة مثل ValleyRAT.
