E安全消息,11月6日,网络安全公司Fortinet报告称,黑客利用Winos4.0框架通过虚假的游戏相关应用程序,继续以中国Windows用户为目标。
Winos4.0工具包相当于Sliver和Cobalt Strike这类后渗透框架。据E安全了解,今年夏天Trend Micro报告就已记录其针对中国用户进行攻击。
当时,一个被追踪为Void Arachne/Silver Fox的威胁行为者通过为中国市场修改的各种软件(VPN、Google Chrome浏览器)提供优惠,捆绑了恶意组件来诱骗受害者。
使用Winos4.0感染恶意文件的用户
来源:Fortinet
当看似合法的安装程序被执行时,它们会从“ad59t82g[.]com”下载一个DLL文件,启动一个多步骤感染过程。
第一阶段,DLL文件(you.dll)下载额外的文件,设置执行环境,并通过在Windows注册表中添加条目来建立持久性。
第二阶段,注入的shellcode加载API,检索配置数据,并建立与命令和控制(C2)服务器的连接。
第三阶段,另一个DLL(上线模块.dll)从C2服务器检索额外的编码数据,将其存储在注册表"HKEY_CURRENT_USER\\Console\\0"中,并更新C2地址。
已添加到Registry的恶意软件模块
来源:Fortinet
在攻击链的最后阶段,加载了登录模块(登录模块.dll),该模块执行主要的恶意行为:
收集系统和环境信息(例如,IP地址,操作系统详情,CPU)。
检查主机上运行的防病毒和监控软件。
收集受害者使用的特定加密货币钱包扩展的数据。
维护与C2服务器的持久后门连接,允许攻击者发出命令和检索额外数据。
在截屏、监控剪贴板更改和窃取文件后,外泄数据。
完整的Winos4.0攻击链
来源:Fortinet
Winos4.0检查系统上的各种安全工具,包括Kaspersky、Avast、Avira、Symantec、Bitdefender、Dr.Web、Malwarebytes、McAfee、AhnLab、ESET、Panda Security,以及现已停止的Microsoft Security Essentials。
通过识别这些进程,恶意软件确定它是否在被监控的环境中运行,并相应调整其行为,或停止执行。
黑客已经连续几个月使用Winos4.0框架,看到新的活动出现表明其在恶意操作中的角色似乎已经稳固。
Fortinet将该框架描述为一个强大的工具,可用来控制被入侵的系统,功能类似于Cobalt Strike和Sliver。
Fortinet和Trend Micro的报告提供了入侵指标(IoC):
Fortinet:
https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application
Trend Micro:
https://www.trendmicro.com/content/dam/trendmicro/global/en/research/24/f/behind-the-great-wall--void-arachne-targets-chinese-speaking-users-with-the-winos-4-0-c-c-framework/WinOS4.0_IoCs.txt
美国联合声明,警告俄罗斯和伊朗在最后时刻干预选举
2024.11.7
尼日利亚男子被判处26年,涉房地产网络钓鱼诈骗数百万美元
2024.11.6
微软SharePoint RCE漏洞,被利用入侵企业网络
2024.11.5
注:本文由E安全编译报道,转载请联系授权并注明来源。