Silver Fox(银狐)利用伪造的 VPN 和浏览器 NSIS 安装程序传播

admin 2025年5月26日11:10:46评论26 views字数 1696阅读5分39秒阅读模式

导 

Rapid7研究人员披露了一项恶意软件活动,该活动使用伪装成 LetsVPN 和 QQ 浏览器等流行工具的虚假软件安装程序来传播Winos 4.0框架。

该活动于 2025 年 2 月首次被 Rapid7 发现,涉及使用名为 Catena 的多阶段内存驻留加载器。

Rapid7研究人员表示: “Catena 使用嵌入式 Shellcode 和配置切换逻辑,将类似 Winos 4.0 的有效载荷完全存储在内存中,从而规避了传统的防病毒工具。一旦安装,它就会悄悄连接到攻击者控制的服务器(主要托管在香港),以接收后续指令或其他恶意软件。”

此次攻击与过去部署 Winos 4.0 的攻击类似,专门针对中文环境。

Winos 4.0(又名 ValleyRAT)最早于 2024 年 6 月由趋势科技 (Trend Micro) 公开记录,该恶意软件利用伪装成 VPN的恶意 Windows Installer (MSI) 文件针对中文用户发起攻击。该活动被归咎于名为 Void Arachne 的威胁集群,该集群也被称为 Silver Fox(银狐)。

Silver Fox(银狐)利用伪造的 VPN 和浏览器 NSIS 安装程序传播

感染链一

Silver Fox(银狐)恶意软件的传播活动利用游戏相关应用程序(例如安装工具、加速器和优化实用程序)为诱饵,诱骗用户安装。

Winos 4.0 建立在已知远程访问木马 Gh0st RAT 的基础上,是一个用 C++ 编写的高级恶意框架,它利用基于插件的系统来收集数据、提供远程 shell 访问以及发起分布式拒绝服务 (DDoS) 攻击。

Rapid7 表示,2025 年 2 月标记的所有恶意软件都依赖于与签名诱饵应用程序捆绑的 NSIS 安装程序、嵌入在“.ini”文件中的 Shellcode 以及反射式 DLL 注入,从而隐蔽地在受感染主机上保持持久性并避免被检测到。整个感染链被命名为 Catena。

研究人员表示:“该活动迄今为止一直活跃于 2025 年全年,显示出一致的感染链,并进行了一些战术调整,这表明存在一个能力强且适应性强的威胁组织。”

攻击的起点是一个被木马化的NSIS安装程序,该安装程序伪装成QQ浏览器的安装程序。该恶意软件通过TCP端口18856和HTTPS端口443与硬编码的命令与控制(C2)基础设施进行通信。

Silver Fox(银狐)利用伪造的 VPN 和浏览器 NSIS 安装程序传播

感染链二

通过注册计划任务,该任务在首次入侵后数周内执行,从而实现在主机上的持久化。

Rapid7 表示,它在 2025 年 4 月发现了一项“战术转变”,不仅改变了 Catena 执行链的一些元素,还加入了规避杀毒软件检测的功能。

在改进的攻击序列中,NSIS 安装程序会伪装成 LetsVPN 的安装文件,并运行 PowerShell 命令,为所有驱动器(C: 至 Z:)添加Microsoft Defender 排除项。然后,它会释放额外的有效载荷,包括一个可执行文件,该可执行文件会截取正在运行的进程的快照,并检查与 360 杀毒软件相关的进程。

该二进制文件使用 VeriSign 颁发的过期证书进行签名,该文件的主要功能是反射加载 DLL 文件,该文件随后连接到 C2 服务器(“134.122.204[.]11:18852”或“103.46.185[.]44:443”),以下载并执行 Winos 4.0。

研究人员表示:“此次活动表明恶意软件操作组织严密、针对特定区域,使用木马化的 NSIS 安装程序悄悄植入 Winos 4.0 阶段性程序。”

它严重依赖内存驻留载荷、反射式 DLL 加载以及使用合法证书签名的诱饵软件来避免触发警报。基础设施重叠和基于语言的攻击目标暗示其与 Silver Fox 威胁组织存在关联,其活动可能针对的是中文环境。

技术报告:

https://www.rapid7.com/blog/post/2025/05/22/nsis-abuse-and-srdi-shellcode-anatomy-of-the-winos-4-0-campaign/

新闻链接:

https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html

Silver Fox(银狐)利用伪造的 VPN 和浏览器 NSIS 安装程序传播

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):Silver Fox(银狐)利用伪造的 VPN 和浏览器 NSIS 安装程序传播

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日11:10:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Silver Fox(银狐)利用伪造的 VPN 和浏览器 NSIS 安装程序传播https://cn-sec.com/archives/4098399.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息