Sainbox Rat ve açık kaynaklı gizli rootkit sunmak için WPS Office, Sogo ve Deepseek gibi popüler yazılımların reklamını yapan sahte web sitelerinden yararlandığı yeni bir kampanya gözlendi.
Etkinlik, tehdit oyuncusuna atfedilen önceki kampanyalarla Tradecraft’taki benzerliklere atıfta bulunarak, Silver Fox (diğer adıyla Void Arachne) adlı bir Çin hack grubuna orta güvenle ilişkilendirildi.
Kimlik avı web siteleri (“wpsis[.]com “) Çin dilinde kötü niyetli MSI montajcılarını dağıttığı bulunmuştur, bu da kampanyanın hedeflerinin Çinli konuşmacılar olduğunu göstermiştir.
Netskope Tehdit Laboratuarları araştırmacısı Leandro Fróes, “Kötü amaçlı yazılım yükleri Sainbox Rat’ı, GH0ST sıçanının bir çeşidi ve açık kaynaklı gizli rootkit varyantını içeriyor.” Dedi.
Tehdit oyuncusu ilk kez bu modus operandi’ye başvurdu. Temmuz 2024’te Esentire, GH0ST sıçanını teslim etmek için Çince konuşan Windows kullanıcılarını sahte Google Chrome siteleri olan bir kampanya detaylandırdı.
Daha sonra bu Şubat ayının başlarında, Morphisec, GH0ST Rat’ın farklı bir sürümü olan Vallereyrat’ı (Winos 4.0) dağıtan web tarayıcısının reklamını yapan sahte siteleri de kullanan başka bir kampanyayı açıkladı.
Vallereyrat ilk olarak Eylül 2023’te Proofpoint tarafından Çinli konuşan kullanıcıları Sainbox Rat ve Purple Fox ile seçen bir kampanyanın bir parçası olarak belgelendi.
Netskope tarafından tespit edilen en son saldırı dalgasında, web sitelerinden indirilen kötü amaçlı MSI yükleyicileri, dll yan yükleme tekniklerini kullanarak bir haydut dll “libcef.dll” sideloading “Shine.exe” adlı meşru bir yürütülebilir ürün başlatmak için tasarlanmıştır.
DLL’nin birincil amacı, yükleyicide bulunan bir metin dosyasından (“1.txt”) kabuk kodunu çıkarmak ve daha sonra çalıştırmak, sonuçta başka bir DLL yükünün yürütülmesine neden olmaktır, Sainbox adlı bir uzaktan erişim Trojan.
Fróes, “Analiz edilen yükün .Data bölümü, kötü amaçlı yazılımların yapılandırmasına bağlı olarak yürütülebilen başka bir PE ikili içerir.” “Gömülü dosya, gizli projeye dayanan bir rootkit sürücüsüdür.”
Sainbox, ek yükler indirme ve veri çalmak için özelliklerle donatılmış olsa da, Hidden saldırganlara kötü amaçlı yazılımlarla ilgili süreçleri ve Windows kayıt defteri anahtarlarını uzlaşmış ana bilgisayarlarda gizlemek için bir dizi gizli özellik sunar.
Netskope, “GH0ST sıçanları gibi emtia sıçanlarının varyantlarını ve gizli gibi açık kaynaklı çekirdek kökleri kullanılarak, saldırganlara çok fazla özel gelişim gerektirmeden kontrol ve gizlilik sağlar.” Dedi.