Silver Fox Expands Cyber Campaign with AtlasCross RAT in Asia

LockSelf Team

5 min de lecture
Partager
Silver Fox Expands Cyber Campaign with AtlasCross RAT in Asia

Urgence : Campagne Silver Fox et déploiement d'AtlasCross

Illustration cybersécurité

La campagne connue sous le nom de Silver Fox utilise des domaines typosquattés pour diffuser un Remote Access Trojan (RAT) baptisé AtlasCross. La menace cible prioritairement des utilisateurs sinophones et des entreprises en Asie via de faux clients VPN, des messageries corrompues et des portails liés aux crypto-actifs. Les équipes de sécurité doivent traiter cet événement comme prioritaire et appliquer les mesures ci-dessous sans délai. Selon les premières analyses, la campagne est active et évolutive, avec des infrastructures de commande et contrôle et des domaines récemment enregistrés servant de points d'appât¹.

Priorités immédiates (heures à 48 heures)

  • Bloquer et mettre en liste noire les 11 domaines identifiés et leurs sous-domaines dans les filtres DNS, pare-feu et passerelles Web d'ici la fin de la journée. Si vous disposez d'un proxy ou d'un filtrage DNS centralisé, appliquez la règle au niveau global pour éviter des contournements.
  • Activer ou durcir l'EDR sur l'ensemble des endpoints avec capacités d'analyse comportementale et détection heuristique. Prioriser l'installation sur les comptes administrateurs et les serveurs exposés dans les 48 heures.
  • Imposer l'authentification multifacteur pour tous les accès administratifs, consoles cloud et VPN dans les 24 heures. Pour les accès externes, appliquer des exceptions temporaires seulement si la compensating control (par ex. VPN avec MFA obligatoire et limitation d'IP) est en place.
  • Déployer des règles de blocage DNS pour les domaines nouvellement enregistrés et connus pour typosquatting, avec whitelist pour les fournisseurs validés, et auditer les requêtes DNS suspectes en continu³.

Mesures de confinement et investigation (48 à 72 heures)

  • Isoler immédiatement tout endpoint présentant signes d'anomalie: processus légitimes chargeant DLL non signées, tâches planifiées inconnues, ou connexions réseau chiffrées vers domaines récents. Capturer la mémoire volatile et collecter les logs avant toute mise hors tension.
  • Réinitialiser les credentials potentiellement exposés et forcer la révocation des sessions pour les comptes suspects. Prioriser comptes à privilèges et accès externes.
  • Lancer une analyse de forensic: identifier vecteurs d'entrée, modules récupérés depuis le C2, et éventuelles exfiltrations de fichiers. Conserver l'intégrité des preuves pour procédure juridique si nécessaire.
  • Restaurer les endpoints compromis depuis sauvegardes connues propres après eradication complète du malware et validation forensique.

Gouvernance, prévention et sensibilisation (jours suivant la détection)

  • Former les équipes opérationnelles et métiers à repérer les faux sites: vérifier l'orthographe des URL, contrôler les certificats TLS et comparer les originateurs connus avant tout téléchargement. Organiser une session de sensibilisation dédiée cette semaine pour les utilisateurs à haut risque.
  • Mettre en place un processus de validation stricte pour tout téléchargement d'installateurs: n'accepter que les binaires signés et vérifier la signature numérique avant installation. Appliquer ce contrôle dans les 5 jours.
  • Déployer une politique de whitelisting applicatif pour les postes critiques et limiter les droits d'installation aux administrateurs gérés.
  • Documenter et tester un plan de réponse à incident qui couvre identification, isolation, forensic, restauration et notification des parties prenantes; finaliser la version opérationnelle dans les 72 heures.

Surveillance, threat intelligence et corrélation

  • Intégrer immédiatement les indicateurs de compromission (IoC) fournis dans votre SIEM et vos solutions de threat intelligence pour permettre la corrélation automatique des événements. Prioriser les règles détectant les résolutions DNS vers domaines malicieux et les connexions chiffrées sortantes vers infrastructures suspectes.
  • Inspecter les flux HTTPS sensibles via des solutions de décryptage contrôlé lorsque la politique de confidentialité et la législation locale le permettent. Compléter par l'analyse des certificats et des empreintes TLS.
  • Participer aux échanges sectoriels et partager vos IoC afin d'augmenter la couverture collective; le renseignement partagé accélère la détection et la neutralisation des infrastructures adverses³.

Conséquences en cas d'inaction

Ne pas agir rapidement augmente fortement le risque d'exfiltration de données, de compromission de comptes privilégiés et de perturbation d'activité. La récupération après intrusion a un coût opérationnel et financier élevé: une PME compromise a rapporté des coûts de restauration estimés entre 80 000 et 250 000 EUR dans un cas documenté¹. Des investisseurs privés ont perdu des centaines de milliers de dollars dans des campagnes similaires¹. Ces chiffres illustrent l'impact financier direct et le temps de rétablissement des opérations.

Caractéristiques techniques d'AtlasCross et tactiques utilisées

  • AtlasCross fonctionne comme un RAT modulaire capable de charger des composants supplémentaires depuis un C2 chiffré, d'exécuter des commandes de reconnaissance, d'exfiltrer des données et d'ouvrir des tunnels pour mouvements latéraux. Il masque ses communications dans du trafic HTTPS et utilise parfois des ports standard pour se fondre dans le bruit réseau².
  • La chaîne d'infection combine ingénierie sociale (pages typosquattées, faux installateurs) et obfuscation des binaires. Les attaquants exploitent la confiance des utilisateurs envers des services habituels (clients VPN, gestionnaires crypto) pour inciter au téléchargement¹².
  • Les indicateurs à surveiller incluent: nouvelles tâches planifiées, processus qui chargent DLL non signées, transferts chiffrés vers domaines récemment enregistrés, et créations massives de fichiers dans les répertoires utilisateurs.

Agissez dès maintenant: appliquez les blocages DNS, renforcez l'EDR, imposez le MFA et lancez les investigations forensiques. Plus vous retardez la réponse, plus la fenêtre d'exfiltration et de propagation se referme contre vous.

Questions fréquentes

Quels signes immédiats peuvent indiquer une infection par AtlasCross?

Sur un poste compromis, cherchez des processus légitimes hébergeant des DLL non signées, des tâches planifiées inconnues, des connexions réseau chiffrées vers domaines récemment enregistrés, une création anormale de fichiers dans les répertoires utilisateurs et une activité de recherche intensive de fichiers sensibles. Un exécutable téléchargé depuis un domaine atypique est un indicateur fort¹.

Comment réduire le risque lié aux domaines typosquattés?

Mettre en place un filtrage DNS qui bloque automatiquement les domaines nouvellement enregistrés et les domaines signalés, appliquer des listes blanches pour les téléchargements d'installateurs, vérifier systématiquement la signature numérique des binaires avant installation, et sensibiliser les utilisateurs à la vérification des URL et des certificats TLS³.

Quel rôle joue le C2 dans les opérations d'AtlasCross et comment le neutraliser?

Le C2 orchestre le téléchargement de modules, l'exécution de commandes de reconnaissance, l'exfiltration et l'ouverture de tunnels pour mouvements latéraux. AtlasCross dissimule souvent ses communications dans HTTPS et peut utiliser des ports standards pour se fondre dans le trafic. Détecter et bloquer les résolutions DNS vers ces infrastructures, analyser les certificats TLS et corréler les événements réseau dans le SIEM accélère la neutralisation².

Que faire si un endpoint est confirmé compromis?

Isoler immédiatement le endpoint du réseau, capturer la mémoire et les logs pour analyse forensique, identifier et réinitialiser les comptes compromis, analyser les communications pour retrouver le C2, restaurer depuis une sauvegarde propre validée par le forensique, et notifier les autorités compétentes si des données sensibles ont été exfiltrées¹.

Sources

Lire la suite