Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Silver Fox Deploys ABCDoor Malware via Tax-Themed Phishing in India and Russia

1 minute de lecture

Mis à jour :

Campagne de cyberespionnage du groupe Silver Fox : ABCDoor et ValleyRAT

Le groupe cybercriminel chinois Silver Fox déploie activement le nouveau malware ABCDoor via des campagnes de phishing ciblant principalement l’Inde, la Russie, l’Indonésie, l’Afrique du Sud et le Japon. Ces attaques visent divers secteurs (industrie, conseil, transport) en utilisant des leurres sur le thème de la fiscalité (avis d’audit, violations fiscales).

Points clés :

  • Mode opératoire : Utilisation d’emails de phishing contenant des liens vers des archives ZIP/RAR malveillantes ou des pièces jointes piégées.
  • Chaîne d’infection : L’exécutable malveillant utilise une variante personnalisée du framework RustSL pour contourner l’antivirus et effectuer des vérifications d’environnement (détection de machines virtuelles/sandboxes) et de géolocalisation.
  • Persistance : Emploi de la technique “Phantom Persistence”, qui intercepte les signaux d’arrêt du système pour forcer le redémarrage et l’exécution du malware sous couvert d’une mise à jour logicielle.
  • Payload : Le loader installe ValleyRAT (Winos 4.0), qui télécharge ensuite le module ABCDoor, une porte dérobée écrite en Python capable d’exfiltrer des données (fichiers, presse-papiers, captures d’écran) et de prendre le contrôle distant (clavier/souris).
  • Évolution : Le groupe adopte un modèle hybride mêlant activités opportunistes lucratives et opérations d’espionnage sophistiquées.

Vulnérabilités :

  • Aucune CVE spécifique n’est mentionnée, l’attaque repose sur l’abus de fonctionnalités légitimes du système (processus de mise à jour/redémarrage) et sur l’exécution de code malveillant via des techniques de détournement de frameworks open-source (RustSL).

Recommandations :

  • Sensibilisation : Former les employés à la vigilance face aux emails prétendant provenir des autorités fiscales, particulièrement ceux incitant à télécharger des archives ou des documents non sollicités.
  • Filtrage des emails : Bloquer les fichiers exécutables suspects et analyser systématiquement les liens menant à des archives (ZIP/RAR) provenant d’expéditeurs inconnus.
  • Sécurité des points de terminaison : Mettre en œuvre des solutions EDR capables de détecter les comportements anormaux, comme les tentatives de maintien de persistance via l’interception de processus de redémarrage système.
  • Restrictions : Restreindre l’exécution de scripts Python non autorisés et surveiller les communications réseau sortantes vers des infrastructures C2 inconnues.

Source

Vous pourriez aimer