Çin hükümeti tarafından desteklenebilecek veya desteklenemeyebilecek Çin merkezli bir tehdit oyuncusu olan Silver Fox, Vallevrat arka kapısını, bir Windows metin düzenleyicisi (Philips Dicom Viewer) olarak kötü amaçlı yazılımları gizleyerek şüphesiz kullanıcılara teslim ediyor ( Emeditor) ve sistem sürücüleri ve yardımcı programları.
Vallereyat kötü amaçlı yazılım
Kötü amaçlı yazılımların kullanıcılara nasıl sunulduğu bilinmemektedir. Silver Fox’a atfedilen önceki saldırılarda grup, kullanıcıların Valleray (yani Winos 4.0) kötü amaçlı yazılımlarını yüklemelerini sağlamak için SEO zehirlenmesi ve / veya kimlik avı kullandı.
Temmuz 2024 ile Ocak 2025 arasında toplanan ilk kötü niyetli yürütülebilir dosyanın iki düzineden fazla örneğini analiz ettikten sonra, ön plana çıkan araştırmacılar, bir Alibaba bulut kovasından daha fazla yük alan birinci aşama yükleyici olarak hareket ettiğini tespit ettiler, bunları yürüttü ve kalıcılık.
İkinci aşama yükler, antivirüs çözeltilerini öldürmek ve üçüncü aşamayı yüklemekten sorumludur: gerçek Vallereyrat Trojan/Backdoor ve Loader modülü, sonunda kalıcı bir kriptominer ve bir keylogger bırakır.
Kötü amaçlı yazılımın yürütme akışı (kaynak: forescout)
Hedefler kimler?
Philips Dicom Viewer, tıbbi görüntüleri görüntülemek için bir yazılımdır ve sağlık profesyonelleri ve hastalar tarafından kullanılmaktadır. Emeditor, çok büyük dosyalarla çalışabilen bir metin/kod/CVS editörüdür ve editörler, programcılar, sunucu yöneticileri ve DFIR uzmanları (örn. Büyük günlük dosyalarını analiz etmek için) ve diğerleri tarafından kullanılır.
Silver Fox’un belirli sektörlerdeki kuruluşları (örneğin, sağlık hizmeti,, BT) tehlikeye atmayı hedeflediği zordur – sadece kötü amaçlı yazılımlarını geniş ve geniş yaymaya çalışıyor olabilirler ve daha sonra erişim ve uzlaşmış bilgileri daha derin için kullanıp kullanmayacağına karar verebilirler. ya da gizli Cryptominer’ın işini yapmasından memnun olacak.
Araştırmacılar, “Void Arachne ve Valley’in Büyük Hırsızı olarak da bilinen Silver Fox, tarihsel olarak Çince konuşan kurbanları hedefleyen ve 2024’ten bu yana oldukça aktif olan bir app.” Dedi.
Ancak, geçen yıl, oyuncular da dahil olmak üzere daha geniş bir hedef yelpazesine odaklanmaya başladılar; e-ticaret, finans, satış, muhasebe ve yönetim profesyonelleri / işletmeleri; ve ulusal kurumlar ve güvenlik şirketleri.
“Belirlediğimiz yeni kötü amaçlı yazılım kümesi, sağlık uygulamalarını, İngilizce yürütülebilir dosyaları ve ABD ve Kanada’dan dosya gönderimlerini taklit eden dosya adlarını içeren, grubun hedeflemesini yeni bölgelere ve sektörlere genişletebileceğini gösteriyor” diye ekledi.
“Bu DICOM izleyicileri muhtemelen hastanelerden ziyade hastaları hedeflerken, hastalar genellikle bu uygulamaları kendi tıbbi görüntülerini görüntülemek için kullandıklarından, HDOS riski önemlidir. Hastaların tanı için enfekte cihazlara enfekte cihazlara veya hastaneye ait hastane programları gibi ortaya çıkan senaryolara getirdiği senaryolarda, bu enfeksiyonlar bireysel hasta cihazlarının ötesine yayılabilir ve tehdit aktörlerinin potansiyel olarak bir başlangıç kazanmasına izin verebilir. Sağlık ağları içinde dayanak. ”
Sağlık kuruluşları, güvenilmeyen kaynaklardan (hasta cihazları dahil) yazılım veya dosyaları indirmekten kaçınmalı, katı ağ segmentasyonu uygulamalı, güvenlik yazılımı ile uç noktayı koruymalı ve şüpheli anomalileri ve bilinen uzlaşma göstergelerini tespit etmek için ağ trafiğini ve uç nokta telemetrisini izlemelidir.
İlgili haberlerde, fidye yazılımı operatörleri yakın zamanda sağlık kuruluşlarının sağlık kuruluşlarını ihlal etmek için teşhis görüntüleme yüklemek, depolamak ve alışverişi yapmak için kullandıkları bir platform sağlayıcısı olan IntelerAD tarafından kullanılan SimpleHelp uzaktan izleme ve yönetim çözümündeki güvenlik açıklarından yararlandı.