Een nieuwe campagne is waargenomen met behulp van nepwebsites die populaire software adverteren, zoals WPS Office, Sogou en Deepseek om Sainbox Rat en de open-source verborgen rootkit te leveren.
De activiteit is toegeschreven met medium vertrouwen aan een Chinese hackgroep genaamd Silver Fox (aka void Arachne), onder verwijzing naar overeenkomsten in tradecraft met eerdere campagnes die aan de dreigingsacteur worden toegeschreven.
De phishing -websites (“wpsice (.) Com”) zijn gevonden om kwaadaardige MSI -installateurs in de Chinese taal te distribueren, wat aangeeft dat de doelen van de campagne Chinese sprekers zijn.
“De malware-payloads omvatten de Sainbox-rat, een variant van GH0ST-rat en een variant van de open-source verborgen rootkit,” zei Netskope Threat Labs-onderzoeker Leandro Fróes.
Dit is niet de eerste keer dat de dreigingsacteur toevlucht heeft genomen tot deze modus operandi. In juli 2024 beschreef Esentire een campagne die zich richtte op Chinees sprekende Windows-gebruikers met nep Google Chrome-sites om GH0st Rat te leveren.
Vervolgens onthulde Morphisec eerder deze februari een andere campagne die ook nep -sites maakte die reclame maken voor de webbrowser om Valleyrat (AKA Winos 4.0) te distribueren, een andere versie van GH0st Rat.
Valleyrat werd voor het eerst gedocumenteerd door Proofpoint in september 2023 als onderdeel van een campagne die ook Chinese sprekende gebruikers uitkoos met Sainbox Rat en Purple Fox.
In de nieuwste aanvalsgolf die wordt gespot door Netskope, zijn de kwaadaardige MSI-installateurs die zijn gedownload van de websites ontworpen om een legitiem uitvoerbaar bestand met de naam “Shine.exe” te lanceren, die een Rogue DLL “libcef.dll” sideloadt met behulp van DLL-side-loadingtechnieken.
Het primaire doel van de DLL is om ShellCode te extraheren uit een tekstbestand (“1.txt”) aanwezig in het installatieprogramma en het vervolgens uit te voeren, wat uiteindelijk resulteert in de uitvoering van een andere DLL -payload, een externe toegang Trojan genaamd Sainbox.
“Het .DATA -gedeelte van de geanalyseerde lading bevat een ander PE -binair getal dat kan worden uitgevoerd, afhankelijk van de configuratie van de malware,” legde Fróes uit. “Het ingesloten bestand is een rootkit-stuurprogramma op basis van het open-source project verborgen.”
Terwijl Sainbox is uitgerust met mogelijkheden om extra payloads te downloaden en gegevens te stelen, biedt Hidden aanvallers een reeks stealth-functies om malware-gerelateerde processen en Windows-registersleutels op gecompromitteerde hosts te verbergen.
“Het gebruik van varianten van grondstoffenratten, zoals GH0st Rat, en open-source kernel rootkits, zoals Hidden, geeft de aanvallers controle en stealth zonder veel aangepaste ontwikkeling te vereisen,” zei Netskope.
