Silver Fox kampány ABCDoor-ral
A Kaspersky Kaspersky által elemzett Silver Fox kampány egy spear-phishing művelet, amely adóhatósági értesítéseknek álcázott e-mailekkel terjeszti a fertőzést. A támadók hivatalosnak tűnő dokumentumokat küldenek, amelyek megnyitásakor egy több lépcsős loader lánc indul el.
A kezdeti komponens egy módosított Rust-alapú loader (RustSL), amely titkosított payloadot dekódol és memóriában hajt végre, majd további modulokat tölt be. A fertőzési lánc következő eleme a ValleyRAT, amely perzisztens hozzáférést biztosít, illetve az új ABCDoor backdoor, amely Python-alapú és széles körű vezérlési képességekkel rendelkezik.
Az ABCDoor képes rendszerinformációk gyűjtésére, fájlműveletekre, képernyő- és clipboard-adatok megszerzésére, valamint további parancsok végrehajtására, így a kompromittált rendszer teljes távoli kontroll alá kerül. A kommunikáció titkosított csatornákon zajlik, a komponensek pedig erősen obfuszkáltak, ami nehezíti a detekciót.
A kampány több régiót érint, különösen Ázsiában, és a támadók az adózási időszakokhoz igazítják a phishing üzeneteket, növelve a felhasználói interakció valószínűségét. A művelet strukturált, moduláris felépítésű, ahol a kezdeti pszichológiai megtévesztés egy loader-alapú, memóriában futó végrehajtási lánc követi, amely perzisztens hozzáférést és adatkinyerést biztosít a támadók számára.
