Recenti ricerche condotte da Intezer Labs hanno portato alla luce una campagna di attacchi informatici su larga scala diretta a organizzazioni di lingua cinese, tra cui enti situati a Hong Kong, Taiwan e Cina continentale da parte di un APT noto come Silver Fox. Questa operazione sfrutta il malware ValleyRAT tramite un payload noto come PNGPlug, dimostrando un livello di sofisticazione significativo nell’esecuzione delle attività malevole.
La catena di attacco: come funziona PNGPlug
L’attacco inizia con una strategia di phishing che porta le vittime a scaricare un pacchetto MSI apparentemente legittimo. Una volta eseguito, il software installa un’applicazione innocua per mascherare le sue intenzioni e, contemporaneamente, estrae un archivio crittografato contenente il malware.
Il cuore della minaccia è rappresentato dal loader PNGPlug, che:
- Manipola librerie di sistema come
ntdll.dllper abilitare iniezioni di memoria. - Decripta e inietta payload malevoli nascosti in file PNG, sfruttando specifici offset per caricare eseguibili mascherati.
- Evita i sistemi antivirus cercando software come 360 Total Security e adottando tecniche stealth per eludere i controlli.
I file PNG utilizzati non sono immagini normali, ma contengono dati eseguibili integrati in punti specifici del file, un trucco progettato per superare i rilevamenti di sicurezza tradizionali.
ValleyRAT: il malware alla base dell’attacco
ValleyRAT è un Remote Access Trojan (RAT) altamente sofisticato, attribuito al gruppo APT Silver Fox. Le sue funzionalità avanzate includono:
- Esecuzione in memoria per ridurre la traccia lasciata sui sistemi infetti.
- Offuscamento delle operazioni malevole per aggirare i rilevamenti.
- Persistenza tramite modifiche al registro di sistema e attività pianificate, garantendo un controllo prolungato sui dispositivi compromessi.
Il malware si basa su un approccio modulare, consentendo di scaricare componenti aggiuntivi dal server di comando e controllo (C2), ampliando le sue capacità in base agli obiettivi.
Attribuzione e contesto geopolitico
L’operazione è stata attribuita con maggiore probabilità al gruppo Silver Fox APT, noto per attacchi di spionaggio e crimini informatici mirati contro organizzazioni cinesi. Questi attori si avvalgono di tecniche avanzate come:
- Siti di phishing ottimizzati SEO per attrarre le vittime.
- Uso di software legittimi per mascherare attività malevole.
- Strumenti di monitoraggio come ValleyRAT e Gh0st RAT per osservare le attività delle vittime e distribuire ulteriori plugin.
Un aspetto interessante della campagna è la sua attenzione esclusiva verso regioni di lingua cinese, trattando Hong Kong, Taiwan e la Cina continentale come un unico obiettivo, nonostante le loro differenze politiche e culturali.
Implicazioni e misure preventive
Questa campagna evidenzia come le organizzazioni, anche in regioni altamente sviluppate, possano essere vulnerabili a minacce sofisticate. La combinazione di tecniche di mascheramento, sofisticati loader e malware come ValleyRAT sottolinea l’importanza di:
- Monitoraggio proattivo delle reti per individuare attività sospette.
- Educazione degli utenti sui rischi legati al phishing.
- Adozione di strumenti avanzati di rilevamento per identificare minacce nascoste in file apparentemente innocui.
