曾針對臺灣企業以稅務稽核、雲端電子發票為誘餌從事攻擊的中國駭客組織Silver Fox(也被稱做Void Arachne),近年來攻擊活動頻傳,駭客藉此散布後門程式Winos 4.0(ValleyRAT),不過,最近有資安公司發現,這些駭客的手法出現重大變化。
資安公司Sekoia針對Silver Fox進行長期追蹤,指出這些駭客的攻擊行動最早可追溯到2022年,犯案的動機是為了經濟利益,約從2024年開始,Silver Fox逐漸轉向APT型態的活動。他們主要的工具是模組化後門Winos 4.0,有些活動還會搭配Gh0st RAT變種HoldingHands,以及Blackmoon等中國駭客普遍採用的惡意軟體。值得留意的是,Sekoia發現,這些駭客從去年開始,從原本慣用的Winos 4.0轉向合法的遠端監控與管理工具(RMM),後續又改用以Python開發的竊資軟體,他們將該惡意軟體偽裝成WhatsApp的應用程式來魚目混珠。
雖然在作案工具的運用出現變化,但是這些駭客取得受害企業組織的初期存取管道的做法,仍是偏好冒充國家稅務機關,或是以薪資檔案為誘餌。不過,駭客的活動範圍,從原本針對臺灣與中國,已經延伸到日本、馬來西亞、印度、印尼、新加坡、泰國及菲律賓等多個南亞國家的實體。
Sekoia從去年1月開始,看到這些駭客3個階段的攻擊手法演進,第一波是針對臺灣企業組織,以稅務稽核抽查的名義,誘使收信人開啟PDF附件,導致受害電腦被植入Winos 4.0。附帶一提的是,Fortinet同年4月發現相關攻擊範圍擴大,駭客也攻擊日本企業組織。
第二波攻擊出現在去年12月中旬,這次Silver Fox針對馬來西亞、菲律賓、泰國、印尼、新加坡、印度,雖然駭客同樣以稅務當作幌子,並延用部分基礎設施,不過這次他們並未使用PDF附件,而是直接在釣魚信嵌入連結,引誘收信人連往冒牌稅務網站,並從網站下載壓縮檔,其內容為中國品牌的遠端監控與管理工具的安裝程式。
最近一波手法轉變出現在今年2月,這些駭客改用Python竊資軟體來取代遠端監控與管理工具。Sekoia看到的活動針對馬來西亞,但他們不排除駭客也會對南亞其他國家的企業從事類似攻擊。駭客將竊資軟體偽裝成WhatsApp應用程式,其竊得的資料除被用於網路間諜活動,還有可能用於商業郵件詐騙(BEC),或是竊取內部資料並轉售牟利。
