针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击

admin 2024年11月8日11:27:31评论18 views字数 1451阅读4分50秒阅读模式
针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击
针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击

E安全消息,11月6日,网络安全公司Fortinet报告称,黑客利用Winos4.0框架通过虚假的游戏相关应用程序,继续以中国Windows用户为目标。

Winos4.0工具包相当于Sliver和Cobalt Strike这类后渗透框架。据E安全了解,今年夏天Trend Micro报告就已记录其针对中国用户进行攻击。

当时,一个被追踪为Void Arachne/Silver Fox的威胁行为者通过为中国市场修改的各种软件(VPN、Google Chrome浏览器)提供优惠,捆绑了恶意组件来诱骗受害者。
针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击
使用Winos4.0感染恶意文件的用户
来源:Fortinet

当看似合法的安装程序被执行时,它们会从“ad59t82g[.]com”下载一个DLL文件,启动一个多步骤感染过程。

第一阶段,DLL文件(you.dll)下载额外的文件,设置执行环境,并通过在Windows注册表中添加条目来建立持久性。

第二阶段,注入的shellcode加载API,检索配置数据,并建立与命令和控制(C2)服务器的连接。

第三阶段,另一个DLL(上线模块.dll)从C2服务器检索额外的编码数据,将其存储在注册表"HKEY_CURRENT_USER\Console\0"中,并更新C2地址。
针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击
已添加到Registry的恶意软件模块
来源:Fortinet

在攻击链的最后阶段,加载了登录模块(登录模块.dll),该模块执行主要的恶意行为:

  • 收集系统和环境信息(例如,IP地址,操作系统详情,CPU)。

  • 检查主机上运行的防病毒和监控软件。

  • 收集受害者使用的特定加密货币钱包扩展的数据。

  • 维护与C2服务器的持久后门连接,允许攻击者发出命令和检索额外数据。

  • 在截屏、监控剪贴板更改和窃取文件后,外泄数据。
针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击
完整的Winos4.0攻击链
来源:Fortinet

Winos4.0检查系统上的各种安全工具,包括Kaspersky、Avast、Avira、Symantec、Bitdefender、Dr.Web、Malwarebytes、McAfee、AhnLab、ESET、Panda Security,以及现已停止的Microsoft Security Essentials。

通过识别这些进程,恶意软件确定它是否在被监控的环境中运行,并相应调整其行为,或停止执行。

黑客已经连续几个月使用Winos4.0框架,看到新的活动出现表明其在恶意操作中的角色似乎已经稳固。

Fortinet将该框架描述为一个强大的工具,可用来控制被入侵的系统,功能类似于Cobalt Strike和Sliver。

Fortinet和Trend Micro的报告提供了入侵指标(IoC):

Fortinet:

https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application

Trend Micro:

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/24/f/behind-the-great-wall--void-arachne-targets-chinese-speaking-users-with-the-winos-4-0-c-c-framework/WinOS4.0_IoCs.txt

原文始发于微信公众号(E安全):针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月8日11:27:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击https://cn-sec.com/archives/3372259.html

发表评论

匿名网友 填写信息