导 读
安全专家警告称,高级黑客工具包 Winos4.0 已在全球传播。
趋势科技最初报告称,这款新工具包与知名工具包 Cobalt Strike 和 Sliver 一样,与最近发生的一系列网络攻击有关,最初是通过虚假软件下载传播的。今年,Fortinet 报告称,该工具包还通过游戏主题文件传播,目前这种传播方式有扩大的趋势,可能对更大的用户群构成威胁。
攻击框架
Winso4.0 是一个后漏洞利用工具包:在成功获得对系统的初始访问权限后,攻击者会利用它进行进一步的入侵和控制。
首先,它出现在用户下载的应用程序中,这些用户认为它是他们感兴趣的软件,包括 VPN 或针对中国市场的 Google Chrome 下载。在别名 Void Arachne 或 Silver Fox 下,攻击者利用这些非常流行的应用程序引诱用户,这些应用程序充满了旨在破坏其系统的恶意组件。
新的策略是攻击者使用游戏应用程序传播 Winos4.0,同样主要针对中国用户。这样,黑客就会改变并利用有吸引力的下载来侵入设备。
攻击链
恶意游戏
感染阶段
当受害者下载其中一个看似无害的文件时,Winos4.0工具包会启动四个阶段的感染:
1. 第 1 阶段:安装后,从远程域检索 DLL 文件 you.dll。此文件通过设置 Windows 注册表中的值在设备上安装持久性,以便恶意软件在系统重新启动后仍能持久存在:
2. 第 2 阶段:在此步骤中,加载注入的 shellcode 以下载必要的 API 并与 C2 服务器通信,这使黑客能够从受感染的设备发送命令并检索文件。
3. 第 3 阶段:它从 C2 服务器获取更多编码数据,这些数据存储在第二个 DLL 文件中,该文件名为上线模块.dll,并保存到 Windows 注册表中以供以后使用,同时更新服务器地址以维持恶意软件与其操作员之间的活动链接。
4. 最后阶段:最后阶段(login module.dll)将激活该工具包的所有主要功能,包括详细的系统数据收集(如 IP 地址和操作系统类型)、安全工具检测、加密钱包搜索以及隐藏后门。通过此后门连接,黑客可以窃取数据、执行命令并维持其活动监控。
逃避技术
Winos4.0 已经内置了扫描程序,用于检测安全产品,包括卡巴斯基、Avast、Bitdefender 和 Malwarebytes 的商业产品。
如果该工具包发现自己在受监视的环境中运行,它会改变其行为以避免被检测到,甚至退出。这种多功能性使得该工具在落入网络犯罪分子手中时非常危险。
新兴威胁
Winos4.0工具包仍在使用和微调,这一事实表明该工具包在网络攻击策略中的重要性日益增加。
正如Fortinet所解释的那样,它是一个多功能且功能强大的框架,“旨在远程控制受感染的系统”。这样的持续活动表明,Winos4.0正成为黑客用来控制Windows机器的工具。
预防措施
随时准备下载是安全专家对用户的不断警告,尤其是当涉及到看似流行的免费软件或游戏时。
避免从未知来源下载应用程序和其他形式的文件。即使验证软件或文件是否来自合法来源也可能使其免受感染。此外,必须经常更新安全软件。
了解 Winos4.0 的威胁可以让许多用户意识到这种复杂的恶意软件,从而防止他们受到这种恶意软件的侵害。
技术报告:https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application
新闻链接:
https://www.cysecurity.news/2024/11/growing-use-of-winos40-toolkit-poses.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
朝鲜黑客瞄准加密货币公司,利用 macOS 上的Hidden Risk恶意软件
https://thehackernews.com/2024/11/north-korean-hackers-target-crypto.html
朝鲜加入乌克兰战争 亲俄黑客瞄准韩国
https://www.infosecurity-magazine.com/news/russian-hacktivits-south-korea/
IcePeony 和 Transparent Tribe 利用基于云的工具瞄准印度实体
https://thehackernews.com/2024/11/icepeony-and-transparent-tribe-target.html
一般威胁事件
General Threat Incidents
诈骗分子瞄准英国老年人发送冬季燃料补贴短信
https://www.bleepingcomputer.com/news/security/scammers-target-uk-senior-citizens-with-winter-fuel-payment-texts/
印度政府电子邮件账户遭未经授权访问
https://dailydarkweb.net/unauthorized-access-to-indian-government-email-accounts-allegedly-compromised/
SteelFox 恶意软件瞄准驱动程序漏洞,Windows PC 面临风险
https://www.cysecurity.news/2024/11/windows-pcs-at-risk-as-steelfox-malware.html
黑客使用 ZIP 文件串联来逃避检测
https://www.bleepingcomputer.com/news/security/hackers-now-use-zip-file-concatenation-to-evade-detection/
Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁
https://www.cysecurity.news/2024/11/growing-use-of-winos40-toolkit-poses.html
黑客利用 Excel 文件在 Windows 上传播 Remcos RAT 变种
https://hackread.com/hackers-use-excel-files-remcos-rat-variant-windows/
德克萨斯州油田供应商 Newpark 遭受勒索软件攻击
https://www.securityweek.com/texas-oilfield-supplier-newpark-hit-by-ransomware/
诺基亚称近期源代码泄露影响非常有限
https://www.securityweek.com/nokia-says-impact-of-recent-source-code-leak-is-very-limited/
恶意 NPM 软件包利用窃取数据的恶意软件攻击 Roblox 用户
https://thehackernews.com/2024/11/malicious-npm-packages-target-roblox.html
严重的 Veeam RCE 漏洞现已用于 Frag 勒索软件攻击
https://www.bleepingcomputer.com/news/security/critical-veeam-rce-bug-now-used-in-frag-ransomware-attacks/
漏洞事件
Vulnerability Incidents
思科发布针对工业无线系统中严重 URWB 漏洞的补丁
https://thehackernews.com/2024/11/cisco-releases-patch-for-critical-urwb.html
严重漏洞影响思科工业重型 WiFi 接入点
https://cybernews.com/security/critical-vulnerability-affects-cisco-industrial-wifi-routers/
D-Link 不会修复影响 60,000 台旧 NAS 设备的严重漏洞
https://www.bleepingcomputer.com/news/security/d-link-wont-fix-critical-flaw-affecting-60-000-older-nas-devices/
CISA 警告:Palo Alto Networks Expedition 漏洞(CVE-2024-5910)遭利用
https://www.securityweek.com/palo-alto-networks-expedition-vulnerability-exploited-in-attacks-cisa-warns/
HPE 修补 Aruba 接入点中的严重漏洞
https://www.securityweek.com/hpe-patches-critical-vulnerabilities-in-aruba-access-points/
趋势科技披露多款马自达车型的信息娱乐系统漏洞,可能导致黑客攻击
https://www.securityweek.com/unpatched-vulnerabilities-allow-hacking-of-mazda-cars-zdi/
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Winos4.0 工具包的使用日益增多,给 Windows 用户带来新的威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论