近期攻击我国用户的行动有点多啊!
中文用户成为了一个新的威胁活动团伙Void Arachne的目标。该团伙利用针对VPN的恶意Windows Installer(MSI)文件,来传播一种名为Winos 4.0的命令与控制(C&C)框架。
“这场活动运用了黑帽搜索引擎优化策略,以及社交媒体和消息平台来散布恶意软件。”
这家在2024年4月初发现新威胁行为者的安全公司表示,攻击包括宣传如Google Chrome、LetsVPN、QuickVPN等流行软件,以及针对简体中文的Telegram语言包来分发Winos。另外,攻击者还利用在中文Telegram频道上传播的后门安装程序。
通过黑帽SEO手段出现的链接指向了对手建立的专用基础设施,用于以ZIP压缩包形式部署安装程序。对于针对Telegram频道的攻击,MSI安装程序和ZIP压缩包直接托管在该消息平台上。
恶意中文语言包的使用特别引人注目,这不仅因为它构成了一个巨大的攻击面。其他类型的软件声称能够生成非自愿的深度伪造色情视频,用于性勒索诈骗;还有可能用于虚拟绑架的人工智能技术,以及声音变调和面部交换工具。
这些安装程序设计用来修改防火墙规则,以便在连接公共网络时,将与恶意软件相关的入站和出站流量加入白名单。
它还会部署一个加载器,该加载器会解密并在内存中执行第二阶段的有效负载(second-stage payload),然后启动一个 Visual Basic Script (VBS) 来在主机上建立持久性,并触发一个未知的批处理脚本,最后通过一个分段器(stager)传递 Winos 4.0 命令与控制(C&C)框架,从而与远程服务器建立 C&C 通信。
Winos 4.0 是一个用 C++ 编写的植入程序,具备文件管理、使用 TCP/UDP/ICMP/HTTP 进行分布式拒绝服务(DDoS)攻击、磁盘搜索、摄像头控制、截图捕获、麦克风录音、键盘记录和远程 shell 访问等功能。
这个后门程序的复杂性在于其基于插件的系统,它通过一组专门的 23 个组件实现上述功能,这些组件针对 32 位和 64 位系统编译。根据威胁行为者的需求,它还可以通过外部插件进一步增强。
Winos 的核心组件还包含检测中国常见安全软件的方法,此外还充当主要协调器,负责加载插件、清除系统日志以及从提供的 URL 下载和执行额外的有效负载。
攻击者控制的托管恶意负载的网站
tg消息里面包含嵌入在 zip 文件中的恶意 MSI 文件
伪装成 tg简体中文语言包的恶意 MSI 文件
原文始发于微信公众号(独眼情报):黑客利用恶意 VPN 安装程序攻击我国用户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论