银狐APT利用Winos 4.0恶意软件针对台湾企业发动网络攻击

近日，网络安全领域再掀波澜，Fortinet FortiGuard实验室披露了一起针对台湾企业的全新网络攻击活动。攻击者利用一款名为Winos 4.0的恶意软件，通过伪装成台湾“国家税务局”的钓鱼邮件，精准打击企业目标。这标志着攻击链从以往依赖恶意游戏相关应用，转向更具针对性的社会工程手段。作为一名关注安全圈动向的技术作者，我将结合技术细节为大家深度剖析此次攻击。

攻击手法揭秘：从钓鱼邮件到恶意DLL

根据Fortinet研究员Pei Han Liao的报告，攻击者在邮件中声称附件为“税务检查企业名单”，并要求收件人将信息转发给公司财务人员。表面上看，这份附件伪装成来自“财政部”的官方文档，诱导用户下载所谓的名单。然而，实际上这是一个ZIP压缩文件，内含一个恶意动态链接库（DLL）文件“lastbld2Base.dll”。

这个DLL文件是攻击的关键切入点。一旦被执行，它会触发后续的shellcode（壳代码），该代码负责从远程服务器“206.238.221[.]60”下载Winos 4.0的模块。Shellcode作为一种低级攻击技术，通常以机器码形式运行，能够绕过常规的安全检测机制，为后续恶意行为铺平道路。

 Winos 4.0的技术能力：多维度数据窃取

Winos 4.0的核心组件被描述为“登录模块”，其功能极为强大且隐秘。具体来说，它具备以下技术特性：

1. 屏幕截图：周期性捕获用户屏幕内容，获取敏感操作的视觉数据；

2. 键盘记录：监控并记录用户输入，包括密码和机密信息；

3. 剪贴板篡改：修改剪贴板内容，可能用于替换加密货币地址或窃取复制的敏感数据；

4. USB设备监控：检测并记录连接的外部存储设备，可能用于数据外泄；

5. Shellcode执行：支持动态加载额外的恶意代码，提升攻击灵活性；

6. 绕过安全软件：当金山安全或火绒弹出提示时，允许敏感操作（如运行cmd.exe）继续执行。

此外，Fortinet还发现第二条攻击链下载了一个在线模块，专门针对微信和网银界面进行屏幕截图，进一步凸显攻击者对特定目标的高度定制化设计。

恶意软件演化与归因：从Gh0st RAT到银狐APT

Winos 4.0并非凭空出现，其技术根源可追溯至2008年开源的Gh0st RAT——一款起源于中国的远程访问木马。据Forescout Vedere Labs安全研究负责人Daniel dos Santos分析，Winos 4.0与另一款名为ValleyRAT的恶意软件同源，均为Gh0st RAT的变种。这类工具在2023至2024年间被广泛称为Winos，而ValleyRAT则是近期更常见的命名。

从技术角度看，Winos 4.0集成了本地木马/远程访问功能，并配备了命令与控制（C2）服务器。其代码不断演进，攻击者通过加入新型加载器（如CleverSoar）和开源Rootkit（如Nidhogg），显著增强了隐蔽性和对抗性。

CleverSoar加载器与区域针对性

CleverSoar作为Winos 4.0的安装组件，通过MSI安装包伪装成合法软件或游戏应用分发。它会检查用户系统语言设置，仅在识别到中文或越南语时才会继续感染。这种行为表明攻击者有意锁定特定区域目标。Rapid7在2024年11月末的报告中指出，这种语言过滤机制极大提高了攻击的精准性。

更有趣的是，CleverSoar还会协同部署Nidhogg Rootkit，利用内核级权限隐藏恶意进程，进一步挑战传统安全软件的检测能力。

新动向：利用医疗软件与加密货币挖矿

银狐APT（Silver Fox APT）的攻击手段还在不断升级。最近，其被发现利用伪装成Philips DICOM医疗查看器的木马版本分发ValleyRAT。攻击链不仅部署了键盘记录器，还植入了加密货币挖矿程序，消耗受害者系统资源以谋取经济利益。更令人警惕的是，攻击者利用TrueSight驱动的漏洞版本禁用杀毒软件，显示出深厚的技术功底和对目标环境的深刻理解。

技术洞察与防御建议

此次攻击的技术细节揭示了银狐APT的高超能力：从社会工程学到恶意代码的多阶段加载，再到对抗安全软件的复杂策略，无不体现其专业性。对于企业而言，防御此类威胁需从以下几点入手：

1. 邮件过滤：部署高级威胁检测系统，识别伪造来源的钓鱼邮件；

2. 行为监控：利用EDR（端点检测与响应）技术，捕捉DLL加载和Shellcode执行的异常行为；

3. 补丁管理：及时更新驱动和安全软件，封堵已知漏洞；

4. 用户培训：提升员工对社会工程攻击的警惕性，避免随意打开未知附件。

Winos 4.0的出现不仅是技术的较量，更是网络安全战场的新警钟。面对不断进化的威胁，只有技术与意识并重，才能在这场无声的战争中占据主动。

原文始发于微信公众号（技术修道场）：银狐APT利用Winos 4.0恶意软件针对台湾企业发动网络攻击