駭客組織Silver Fox假借提供瀏覽器、簡訊服務名義，意圖散布惡意軟體ValleyRAT

駭客散布惡意軟體的手法，越來越複雜。有資安業者提出警告，過往仰賴BAT批次檔和PowerShell指令碼（ps1）的駭客組織Silver Fox，大幅調整手法，意圖讓行蹤更加隱密而難以被發現。

資安業者Morphisec揭露最新一波惡意軟體ValleyRAT的攻擊行動，指出駭客組織Silver Fox透過多階段攻擊鏈從事活動，和他們過往使用的戰術、技術、流程（TTP）有所不同，不過特別的是，在這次攻擊行動裡，駭客仍延續過往攻擊使用的部分URL。

而對於駭客攻擊目標，很有可能延續過往的對象，針對金融、會計、銷售部門的高階主管。

究竟駭客如何發動攻擊？Morphisec資安研究員Shmuel Uzan指出，他們先是引誘目標人士到惡意網站https://anizom[.]com/，假借提供Chrome的名義散布惡意程式，一旦使用者下載，就會啟動攻擊鏈。

但除了利用提供瀏覽器下載的名義，Shmuel Uzan也提及這些駭客架設的另一個釣魚網站，假冒中國簡訊服務業者卡洛思。但無論是那個網站，使用者都會從中下載壓縮檔Setup.zip，內含執行檔Setup.exe，若是執行，電腦就會被植入ValleyRAT。

從前述的Chrome下載網頁使用簡體中文，再加上假冒中國簡訊服務業者，這起攻擊行動很可能針對中國人士而來。

Morphisec分析Setup.exe的組成，發現此檔案以.NET開發平臺打造而成，執行時首先檢查是否具備管理者權限，假如沒有，它還會要求使用者授予必要的權限。

接著，該執行檔會檢查作業系統類型並下載sscronet.dll、douyin.exe、mpclient.dat、tier0.dll等額外的工具，然後在記憶體內載入sscronet.dll。而此DLL的用途，就是用來執行douyin.exe。

該執行檔正是中國版抖音的主程式，駭客將其用於以側載的手法，載入另一個惡意DLL檔案Tier0.dll，並呼叫Nslookup掩人耳目，然後讀取經加密處理的Shell Code檔案mpclient.dat，最終以網路診斷工具Nslookup執行解密，於記憶體內執行ValleryRAT。

值得一提的是，mpclient.dat與作業系統的部分功能掛鉤，例如：AmsiScanString、AmsiScanBuffer、EtwEventWrite，使得惡意程式能繞過反惡意軟體掃描介面（AMSI）、Windows事件追蹤（ETW）等內建防護機制，而能迴避偵測。

再者，他們也提及惡意酬載注入的過程裡，駭客利用了DLL挾持手法，其濫用的二進位檔案來自Steam遊戲，與殺戮空間2（Left 4 Dead 2）、惡靈勢力2（Left 4 Dead 2）這兩款遊戲有關。