E安全消息,11月6日,网络安全公司Fortinet报告称,黑客利用Winos4.0框架通过虚假的游戏相关应用程序,继续以中国Windows用户为目标。
Winos4.0工具包相当于Sliver和Cobalt Strike这类后渗透框架。据E安全了解,今年夏天Trend Micro报告就已记录其针对中国用户进行攻击。
当看似合法的安装程序被执行时,它们会从“ad59t82g[.]com”下载一个DLL文件,启动一个多步骤感染过程。
第一阶段,DLL文件(you.dll)下载额外的文件,设置执行环境,并通过在Windows注册表中添加条目来建立持久性。
第二阶段,注入的shellcode加载API,检索配置数据,并建立与命令和控制(C2)服务器的连接。
在攻击链的最后阶段,加载了登录模块(登录模块.dll),该模块执行主要的恶意行为:
-
收集系统和环境信息(例如,IP地址,操作系统详情,CPU)。
-
检查主机上运行的防病毒和监控软件。
-
收集受害者使用的特定加密货币钱包扩展的数据。
-
维护与C2服务器的持久后门连接,允许攻击者发出命令和检索额外数据。
-
在截屏、监控剪贴板更改和窃取文件后,外泄数据。
Winos4.0检查系统上的各种安全工具,包括Kaspersky、Avast、Avira、Symantec、Bitdefender、Dr.Web、Malwarebytes、McAfee、AhnLab、ESET、Panda Security,以及现已停止的Microsoft Security Essentials。
通过识别这些进程,恶意软件确定它是否在被监控的环境中运行,并相应调整其行为,或停止执行。
黑客已经连续几个月使用Winos4.0框架,看到新的活动出现表明其在恶意操作中的角色似乎已经稳固。
Fortinet将该框架描述为一个强大的工具,可用来控制被入侵的系统,功能类似于Cobalt Strike和Sliver。
Fortinet和Trend Micro的报告提供了入侵指标(IoC):
Fortinet:
https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application
Trend Micro:
https://www.trendmicro.com/content/dam/trendmicro/global/en/research/24/f/behind-the-great-wall--void-arachne-targets-chinese-speaking-users-with-the-winos-4-0-c-c-framework/WinOS4.0_IoCs.txt
原文始发于微信公众号(E安全):针对中国用户,黑客利用Winos4.0框架通过虚假游戏程序进行攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论