官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
在网络安全领域,高级持久威胁(APT)组织银狐「Silver Fox」(又称 Void Arachne)最近发起了一场搜索引擎优化(SEO)中毒活动,该活动伪装成 Microsoft Teams,针对中文用户,包括在华经营的西方组织。该活动自 2025 年 11 月开始活跃,使用修改后的 ValleyRAT 加载器,其中包含西里尔字母元素,以误导归因于俄罗斯威胁行为者。银狐通过部署 ValleyRAT 进行国家赞助的间谍活动,收集敏感情报,同时从事金融欺诈和盗窃以资助行动。这种双重目标的策略突显了该组织的复杂性:一方面追求情报获取,另一方面通过犯罪活动维持资金链,而不直接依赖政府资助。
这一活动对拥有讲中文员工的组织构成显著风险,可能导致数据泄露、金融损失和系统compromised。银狐的战术不断演变,ValleyRAT 作为一种远程访问木马(RAT),能够实现远程控制、数据窃取、任意命令执行以及长期持久化。本文将详细分析这一威胁,包括威胁行为者的背景、攻击细节、战术、技术和程序(TTPs)、妥协指标(IOCs)以及防御推荐。通过剖析这一事件,我们可以看到 银狐如何利用虚假旗帜(false flags)来规避追踪,并针对特定区域优化其攻击链,这反映了现代网络威胁的全球化与本土化相结合的趋势。
假冒 Microsoft Teams 攻击的细节
这一攻击的核心是伪装 Microsoft Teams 的域名「teamscn[.]com」,通过拼写错误(typo-squatting)添加「cn」来针对中国用户。该域名于 2025 年 3 月更新,HTML 标题为「Teams downloads - Download the Microsoft Teams desktop and mobile apps」,并在 11 月微调为去除「downloads」中的「s」,以增强真实性。感染尝试很快随之而来。
用户访问该假网站后,会下载一个 ZIP 文件,从「shuangkg[.]oss-cn-hongkong[.]aliyuncs[.]com」获取,包含 ValleyRAT 恶意软件。这与 银狐先前伪装 Telegram 和 Chrome 的活动类似,均利用 SEO 中毒引导用户下载假冒软件。攻击链从 ZIP 文件「MSTчamsSetup.zip」开始,其中包含西里尔字符,进一步强化俄罗斯伪装。
分析这一攻击,我们可以看到 银狐的精细设计:域名选择针对中国用户,而文件命名和内容则模仿合法软件。这不仅提高了感染成功率,还通过虚假旗帜分散调查焦点。相比传统钓鱼,这种 SEO 中毒更被动,利用搜索引擎排名吸引受害者,体现了攻击者的耐心和资源投入。
战术、技术和程序(TTPs)的深入解析
银狐的 TTPs 展示了高度的技术成熟度和适应性。以下是关键环节的分析:
- ValleyRAT 加载器的修改 :ZIP 文件「MSTчamsSetup.zip」包含西里尔字符,执行文件以俄语呈现,旨在误导分析者将其归因于俄罗斯行为者。这种虚假旗帜是现代 APT 的常见策略,能延迟响应时间。
- 诱饵与交付 :假 Microsoft Teams 网站提供下载链接,ZIP 内含「Setup.exe」,这是一个木马化的 Teams 应用。执行后,它会检查本地环境,如运行「cmd /c tasklist | findstr /I "360[Tt]ray.exe"」检测 360 Total Security 杀毒软件,并据此调整行为。这显示了针对中国常见安全工具的优化。
- 执行链 :
- 执行 PowerShell 命令:「powe""r""s""h""e""l""l.exe -Ex""ec""uti""o""nPol""ic""y By""pa""s""s -C""om""ma""n""d Ad""d""- M""pPr""ef""ere""nce -Ex""cl""usion"" Path C:, D:,E:,F:\」,添加 Windows Defender 对驱动器的排除,提升持久化。
- 从 AppData\Local\ 执行「Verifier.exe」(木马化的俄罗斯 32 位 C++ 运行时安装程序),从 Profiler.json 读取二进制数据。
- 写入文件到 AppData\Roaming\Embarcadero\GPUCache2.xml、GPUCache.xml 和 AutoRecoverDat.dll。
- 使用二进制代理执行:通过 DllRegisterServer 函数将恶意 DLL(AutoRecoverDat.dll)加载到 rundll32.exe。
- rundll32.exe 连接到 C2 服务器「Ntpckj[.]com」(IP 134.122.128[.]131)端口 18852,下载最终负载。
- 欺骗机制 :通过写入「Embarcadero」目录创建合法 Teams 应用和快捷方式,伪装成正常安装。同时,使用 XML/JSON 检索二进制数据,这是 ValleyRAT 的更新特征。
- 针对性 :焦点在中国,检测本地杀毒并排除驱动器扫描。这反映了区域化优化,旨在绕过中国常见安全措施。
从 TTPs 分析,银狐的演变体现在从简单加载到复杂链条的转变,使用 PowerShell 和 Rundll32 等 Windows 原生工具减少检测风险。这种方法符合 MITRE ATT&CK 框架中的多个技术,如 T1059(命令和脚本解释器)和 T1571(非标准端口)。虚假旗帜的加入增加了溯源难度,表明组织在情报战中的战略深度。
IOCs的审查
以下是关键 IOCs 的表格,用于检测和响应:
| 工件 | 细节 |
|---|---|
| hxxp://teamscn[.]com | 托管 ValleyRAT 下载链接的域名 |
| hxxp://oss-cn-hongkong.aliyuncs[.]com | 阿里巴巴云托管 ValleyRAT |
| f3ef04aaf5056651325789ffd75bbc7db8ae2becbb08150e2d4f6a5b545bab0a | MSTчamsSetup.zip 的哈希 |
| d73593469375120d2bdb403383777f2737bc2018e3976cf9eea8f029282d47ed | Setup.exe 的哈希 |
| 3cb7d1849918290a17fcfffd904ca832a9656de053eab88ae5817b211556373e | vcredist_x86.exe 的哈希 |
| 752fb04792f8a0de88226d69efd78126c26304754604347e3edcda831809ba2b | AutoRecoverDat.dll 的哈希 |
| 9e4571947cd34ff98e376efaa3e91957931733ca32e13953905f39b3492089f6 | GPUCache.xml 的哈希 |
| b73a3ab21ec8a4e0faf9b9c8b48c2ddc2821652a594a3ee38d84306f28537f4d | Profiler.json 的哈希 |
| hxxp://Ntpckj[.]com | C2 服务器域名 |
| 134.122.128[.]131 | C2 服务器 IP |
此外,还有 20 个相关域名(如 ppx-teams-down-app[.]pages[.]dev)和 18 个 C2 服务器在端口 18852 上运行,由 CTG Server LTD 托管。这些 IOCs 的基础设施重叠确认了 银狐的参与。组织应将这些哈希和域名加入黑名单,并监控异常流量,以及早检测。
防御推荐与结论
针对这一威胁,推荐以下措施:
- 加强国际威胁防护 :在中国系统或办公室部署日志记录和安全工具,提升对区域特定攻击的可见性。
- 降低 SEO 中毒风险 :实施员工自助应用目录,仅提供预批准软件,避免恶意下载。
- 确保日志记录 :启用 Windows 命令行事件(Event ID 4688)和 PowerShell 脚本块日志(Event ID 4104),检测感染链。
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)