Phân Tích Silver Fox APT: Chiến Dịch Gián Điệp Sử Dụng Phần Mềm Y Tế Làm Vũ Khí

20/06/2025
3 mins read
Nội dung
Phân Tích Chiến Dịch APT/Malware: Silver Fox APT Sử Dụng Phần Mềm Y Tế Như Vũ Khí
Tổng Quan
Chuỗi Tấn Công và Chiến Thuật, Kỹ Thuật, Quy Trình (TTPs)
Hạ Tầng Tấn Công
Kỹ Thuật Phân Phối
Chi Tiết Về SEO Poisoning
Khuyến Nghị Phòng Thủ
Indicators of Compromise (IOCs)
Tóm Tắt Các Yếu Tố Kỹ Thuật Chính

Phân Tích Chiến Dịch APT/Malware: Silver Fox APT Sử Dụng Phần Mềm Y Tế Như Vũ Khí

Tổng Quan

Chiến dịch Silver Fox APT là một hoạt động gián điệp mạng và đánh cắp dữ liệu đa giai đoạn, được thực hiện bởi một nhóm tin tặc có liên kết với nhà nước tại Trung Quốc. Dưới đây là các thông tin tổng quan về mối đe dọa:

  • Tác nhân đe dọa: Silver Fox APT (còn được gọi là Void Arachne hoặc The Great Thief of Valley)
  • Nguồn gốc: Trung Quốc, được tài trợ bởi nhà nước
  • Hoạt động từ: Năm 2024
  • Mục tiêu: Các tổ chức cung cấp dịch vụ y tế (Healthcare Delivery Organizations – HDOs) và các thực thể thuộc khu vực công
  • Loại chiến dịch: Gián điệp mạng và đánh cắp dữ liệu đa giai đoạn

Chuỗi Tấn Công và Chiến Thuật, Kỹ Thuật, Quy Trình (TTPs)

Chiến dịch triển khai nhiều phương thức tấn công phức tạp để xâm nhập và duy trì quyền truy cập vào hệ thống mục tiêu. Cụ thể:

  • Vector lây nhiễm ban đầu:
    • SEO poisoning: Thao túng kết quả tìm kiếm để phân phối phần mềm độc hại.
    • Chiến dịch phishing: Sử dụng email lừa đảo để phát tán mã độc.
    • Trình cài đặt giả mạo (backdoored installers): Đóng giả các ứng dụng hợp pháp như trình duyệt Chrome, ứng dụng VPN hoặc công cụ AI.
  • Phần mềm y tế bị trojan hóa:
    • Tệp thực thi của Philips DICOM Viewer bị nhiễm mã độc với tên MediaViewerLauncher.exe, hoạt động như một dropper giai đoạn đầu.
  • Hành vi sau thực thi:
    • Liên lạc với các bucket của Alibaba Cloud Object Storage Service (OSS) để tải xuống các tệp cấu hình mã hóa và payload được nguỵ trang dưới dạng tệp hình ảnh như a.gif hoặc s.jpeg.
  • Thành phần payload:
    • Driver TrueSightKiller (189atohci.sys): Một driver chế độ kernel.
    • Shellcode: Hỗ trợ các giai đoạn tấn công tiếp theo.
  • Gia đình malware và bộ công cụ chính:
    • Remote Access Trojan (RAT) tùy chỉnh có tên Winos 4.0 hoặc ValleyRAT.

Hạ Tầng Tấn Công

Nhóm Silver Fox sử dụng các bucket của Alibaba Cloud Object Storage Service (OSS) để lưu trữ các tệp cấu hình và payload mã hóa, giúp che giấu hoạt động độc hại.

Kỹ Thuật Phân Phối

Để tăng độ tin cậy và khả năng lây nhiễm, nhóm tấn công sử dụng các kỹ thuật sau:

  • Sử dụng chứng chỉ số bị đánh cắp để ký các trình cài đặt độc hại, qua mặt các cơ chế kiểm tra bảo mật.
  • SEO poisoning: Thao túng thứ hạng tìm kiếm để đưa các trang web hoặc trình cài đặt độc hại lên vị trí cao trong kết quả tìm kiếm, đặc biệt với các phần mềm phổ biến.

Chi Tiết Về SEO Poisoning

Silver Fox khai thác kỹ thuật SEO poisoning bằng cách thao túng thứ hạng tìm kiếm để các trang web giả mạo cung cấp phiên bản trojan hóa của phần mềm y tế (như Philips DICOM Viewer) hoặc các ứng dụng phổ biến khác (Chrome, VPN, công cụ AI) xuất hiện ở vị trí cao. Điều này làm tăng khả năng người dùng tải xuống các trình cài đặt bị nhiễm mã độc.

Khuyến Nghị Phòng Thủ

Để bảo vệ hệ thống trước mối đe dọa từ Silver Fox APT, các tổ chức cần triển khai các biện pháp kiểm soát sau:

1. Tăng cường khả năng quan sát endpoint bằng các giải pháp EDR/XDR.
2. Kích hoạt ghi nhật ký PowerShell để phát hiện các hành vi thực thi script đáng ngờ.
3. Hạn chế quyền cài đặt phần mềm, chỉ cho phép từ các nguồn đáng tin cậy.
4. Thực hiện phân đoạn mạng và áp dụng mô hình truy cập ít đặc quyền (least privilege).
5. Theo dõi các tác vụ lập lịch bất thường hoặc lưu lượng mạng hướng đến các địa chỉ IP không quen thuộc, có thể là dấu hiệu của hoạt động command-and-control hoặc di chuyển ngang (lateral movement).

Indicators of Compromise (IOCs)

Dưới đây là các chỉ số liên quan đến chiến dịch Silver Fox APT:

  • Tệp độc hại:
    • MediaViewerLauncher.exe: Tệp thực thi trojan hóa của Philips DICOM Viewer, hoạt động như dropper.
    • TrueSightKiller driver (189atohci.sys): Driver chế độ kernel.
    • Tệp payload nguỵ trang: Các tệp mã hóa được che giấu dưới dạng hình ảnh như a.gif, s.jpeg.
  • Hạ tầng đám mây:
    • Alibaba Cloud Object Storage Service (OSS) buckets: Được sử dụng để lưu trữ tệp cấu hình và payload mã hóa.
  • Tên gia đình malware:
    • Winos 4.0 / ValleyRAT: Remote Access Trojan tùy chỉnh được sử dụng trong chiến dịch.

Tóm Tắt Các Yếu Tố Kỹ Thuật Chính

Danh mụcChi tiết
Tác nhân đe dọaSilver Fox APT / Void Arachne / The Great Thief of Valley
Mục tiêuTổ chức cung cấp dịch vụ y tế (HDOs); khu vực công
Vector lây nhiễmSEO poisoning; phishing; trình cài đặt giả mạo (backdoored installers)
Gia đình malwareWinos 4.0 / ValleyRAT
Tệp độc hạiMediaViewerLauncher.exe; TrueSightKiller driver (189atohci.sys); tệp hình ảnh nguỵ trang
Command & ControlAlibaba Cloud OSS buckets
Nền tảng bị khai thácPhần mềm y tế hợp pháp bị trojan hóa
Phương thức phân phốiChứng chỉ số bị đánh cắp; SEO poisoning

Thông tin kỹ thuật trên cung cấp cái nhìn chi tiết về chiến dịch Silver Fox APT, hỗ trợ các nhóm SOC và Threat Intelligence Platform (TIP) trong việc phát hiện và ứng phó với các chiến thuật lợi dụng phần mềm y tế trojan hóa nhắm vào lĩnh vực y tế thông qua các chiến dịch đa vector phức tạp.