Grupa Silver Fox napada azijsku regiju lažnim obavestenjima o poreskoj proveri
Kineska heker grupa Silver Fox koristi lažna obaveštenja o poreskoj proveri za distribuciju malvera u Aziji.
Šta se desilo?
Kineski heker kolektiv Silver Fox pokrenuo je koordiniranu kampanju protiv poslovanja i građana širom Azije korisćenjem veoma ubedljivih lažnih poruka o poreskoj reviziji i falsificiranih obaveštenja o ažuriranju softvera. Kroz pažljivo inženjerske napade, grupa uvlači malvere na računare žrtava što joj omogućava dugotrajni pristup mreži i krađu osetljivih podataka.
Koga pogađa?
Silver Fox ciljno napada medicinske ustanove, finansijske kompanije i korporativne okoline, posebno u Tajvanu, Japanu, Maleziji, Indoneziji, Singapuru, Tajlandu i Filipinama. Uprkos početnoj fokusiranosti na Kinu, grupa je značajno proširila geografsku oblast delovanja u 2025. godini. Rizik je posebno povećan za organizacije koje rukuju poverljivim podacima i građane tokom lokalnih poreskih sezona kada su takva obaveštenja očekivana.
Kako se zaštititi?
- Uvesti stroža filtriranja elektronske pošte i monitoring domena kako bi se sprečio pristup lažnim adresama
- Blokirati učitavanje ranijih Windows draivera koji sadrže poznate sigurnosne greške
- Omogućiti kernel-level zaštitu na svim EDR alatima u mreži
- Primeniti white-list politike za kontrolu programa koji mogu da se izvršavaju na radnim stanicama
- Redovno obučavati zaposlene u finansijskom, zdravstvenom i korporativnom sektoru o opasnostima od fišinga, posebno u periodima poreske kampanje
- Biti oprezni pri otvaranju priloga iz nepoznatih ili neočekivanih email poruka
Tehnički detalji
Silver Fox koristi naprednu infekcionu lanac sa nekoliko etapa. Nakon inicijalnog pristupa kroz fišing, grupa primenjuje malvere kao što su ValleyRAT, AtlasCross RAT i Catena loader kako bi uspostavila perzistentnost i komunikaciju sa kontrolnim serverima. Posebna opasnost dolazi iz BYOVD (Bring Your Own Vulnerable Driver) tehnike - napadači učitavaju starije ali legitimno potpisane Windows drajvere sa poznatim nedostacima u sigurnosti, a zatim ih eksploatišu kako bi onemogućili antivirus i EDR zaštitu na nivou kernela. Od februara 2026. godine potvrđeno je i korišćenje Python-baziranog stealera informacija koji sakuplja osetljive fajlove i šalje ih na servere pod kontrolom napadača.
Preporuka Sajber Radara
Organizacijama preporučujemo hitno pojačavanje Email sigurnosti sa posebnom pažnjom na detaljnu analizu pošiljaoca. Ekipi za bezbednost neophodno je da primeni multi-slojna zaštita uključujući kernel-level EDR, restriktivne white-list politike i redovno obučavanje zaposlenih kako bi se minimizirao rizik od socijalnog inženjerstva.
