银狐APT利用Winos 4.0恶意软件针对台湾企业发动网络攻击

admin 2025年6月7日13:17:33评论0 views字数 1983阅读6分36秒阅读模式
银狐APT利用Winos 4.0恶意软件针对台湾企业发动网络攻击

近日,网络安全领域再掀波澜,Fortinet FortiGuard实验室披露了一起针对台湾企业的全新网络攻击活动。攻击者利用一款名为Winos 4.0的恶意软件,通过伪装成台湾“国家税务局”的钓鱼邮件,精准打击企业目标。这标志着攻击链从以往依赖恶意游戏相关应用,转向更具针对性的社会工程手段。作为一名关注安全圈动向的技术作者,我将结合技术细节为大家深度剖析此次攻击。

攻击手法揭秘:从钓鱼邮件到恶意DLL

根据Fortinet研究员Pei Han Liao的报告,攻击者在邮件中声称附件为“税务检查企业名单”,并要求收件人将信息转发给公司财务人员。表面上看,这份附件伪装成来自“财政部”的官方文档,诱导用户下载所谓的名单。然而,实际上这是一个ZIP压缩文件,内含一个恶意动态链接库(DLL)文件“lastbld2Base.dll”。

这个DLL文件是攻击的关键切入点。一旦被执行,它会触发后续的shellcode(壳代码),该代码负责从远程服务器“206.238.221[.]60”下载Winos 4.0的模块。Shellcode作为一种低级攻击技术,通常以机器码形式运行,能够绕过常规的安全检测机制,为后续恶意行为铺平道路。

 Winos 4.0的技术能力:多维度数据窃取

Winos 4.0的核心组件被描述为“登录模块”,其功能极为强大且隐秘。具体来说,它具备以下技术特性:

1. 屏幕截图:周期性捕获用户屏幕内容,获取敏感操作的视觉数据;

2. 键盘记录:监控并记录用户输入,包括密码和机密信息;

3. 剪贴板篡改:修改剪贴板内容,可能用于替换加密货币地址或窃取复制的敏感数据;

4. USB设备监控:检测并记录连接的外部存储设备,可能用于数据外泄;

5. Shellcode执行:支持动态加载额外的恶意代码,提升攻击灵活性;

6. 绕过安全软件:当金山安全或火绒弹出提示时,允许敏感操作(如运行cmd.exe)继续执行。

此外,Fortinet还发现第二条攻击链下载了一个在线模块,专门针对微信和网银界面进行屏幕截图,进一步凸显攻击者对特定目标的高度定制化设计。

恶意软件演化与归因:从Gh0st RAT到银狐APT

Winos 4.0并非凭空出现,其技术根源可追溯至2008年开源的Gh0st RAT——一款起源于中国的远程访问木马。据Forescout Vedere Labs安全研究负责人Daniel dos Santos分析,Winos 4.0与另一款名为ValleyRAT的恶意软件同源,均为Gh0st RAT的变种。这类工具在2023至2024年间被广泛称为Winos,而ValleyRAT则是近期更常见的命名。

从技术角度看,Winos 4.0集成了本地木马/远程访问功能,并配备了命令与控制(C2)服务器。其代码不断演进,攻击者通过加入新型加载器(如CleverSoar)和开源Rootkit(如Nidhogg),显著增强了隐蔽性和对抗性。

CleverSoar加载器与区域针对性

CleverSoar作为Winos 4.0的安装组件,通过MSI安装包伪装成合法软件或游戏应用分发。它会检查用户系统语言设置,仅在识别到中文或越南语时才会继续感染。这种行为表明攻击者有意锁定特定区域目标。Rapid7在2024年11月末的报告中指出,这种语言过滤机制极大提高了攻击的精准性。

更有趣的是,CleverSoar还会协同部署Nidhogg Rootkit,利用内核级权限隐藏恶意进程,进一步挑战传统安全软件的检测能力。

新动向:利用医疗软件与加密货币挖矿

银狐APT(Silver Fox APT)的攻击手段还在不断升级。最近,其被发现利用伪装成Philips DICOM医疗查看器的木马版本分发ValleyRAT。攻击链不仅部署了键盘记录器,还植入了加密货币挖矿程序,消耗受害者系统资源以谋取经济利益。更令人警惕的是,攻击者利用TrueSight驱动的漏洞版本禁用杀毒软件,显示出深厚的技术功底和对目标环境的深刻理解。

技术洞察与防御建议

此次攻击的技术细节揭示了银狐APT的高超能力:从社会工程学到恶意代码的多阶段加载,再到对抗安全软件的复杂策略,无不体现其专业性。对于企业而言,防御此类威胁需从以下几点入手:

1. 邮件过滤:部署高级威胁检测系统,识别伪造来源的钓鱼邮件;

2. 行为监控:利用EDR(端点检测与响应)技术,捕捉DLL加载和Shellcode执行的异常行为;

3. 补丁管理:及时更新驱动和安全软件,封堵已知漏洞;

4. 用户培训:提升员工对社会工程攻击的警惕性,避免随意打开未知附件。

Winos 4.0的出现不仅是技术的较量,更是网络安全战场的新警钟。面对不断进化的威胁,只有技术与意识并重,才能在这场无声的战争中占据主动。

原文始发于微信公众号(技术修道场):银狐APT利用Winos 4.0恶意软件针对台湾企业发动网络攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日13:17:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   银狐APT利用Winos 4.0恶意软件针对台湾企业发动网络攻击http://cn-sec.com/archives/3792638.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息