导 读
Rapid7研究人员披露了一项恶意软件活动,该活动使用伪装成 LetsVPN 和 QQ 浏览器等流行工具的虚假软件安装程序来传播Winos 4.0框架。
该活动于 2025 年 2 月首次被 Rapid7 发现,涉及使用名为 Catena 的多阶段内存驻留加载器。
Rapid7研究人员表示: “Catena 使用嵌入式 Shellcode 和配置切换逻辑,将类似 Winos 4.0 的有效载荷完全存储在内存中,从而规避了传统的防病毒工具。一旦安装,它就会悄悄连接到攻击者控制的服务器(主要托管在香港),以接收后续指令或其他恶意软件。”
此次攻击与过去部署 Winos 4.0 的攻击类似,专门针对中文环境。
Winos 4.0(又名 ValleyRAT)最早于 2024 年 6 月由趋势科技 (Trend Micro) 公开记录,该恶意软件利用伪装成 VPN的恶意 Windows Installer (MSI) 文件针对中文用户发起攻击。该活动被归咎于名为 Void Arachne 的威胁集群,该集群也被称为 Silver Fox(银狐)。
感染链一
Silver Fox(银狐)恶意软件的传播活动利用游戏相关应用程序(例如安装工具、加速器和优化实用程序)为诱饵,诱骗用户安装。
Winos 4.0 建立在已知远程访问木马 Gh0st RAT 的基础上,是一个用 C++ 编写的高级恶意框架,它利用基于插件的系统来收集数据、提供远程 shell 访问以及发起分布式拒绝服务 (DDoS) 攻击。
Rapid7 表示,2025 年 2 月标记的所有恶意软件都依赖于与签名诱饵应用程序捆绑的 NSIS 安装程序、嵌入在“.ini”文件中的 Shellcode 以及反射式 DLL 注入,从而隐蔽地在受感染主机上保持持久性并避免被检测到。整个感染链被命名为 Catena。
研究人员表示:“该活动迄今为止一直活跃于 2025 年全年,显示出一致的感染链,并进行了一些战术调整,这表明存在一个能力强且适应性强的威胁组织。”
攻击的起点是一个被木马化的NSIS安装程序,该安装程序伪装成QQ浏览器的安装程序。该恶意软件通过TCP端口18856和HTTPS端口443与硬编码的命令与控制(C2)基础设施进行通信。
感染链二
通过注册计划任务,该任务在首次入侵后数周内执行,从而实现在主机上的持久化。
Rapid7 表示,它在 2025 年 4 月发现了一项“战术转变”,不仅改变了 Catena 执行链的一些元素,还加入了规避杀毒软件检测的功能。
在改进的攻击序列中,NSIS 安装程序会伪装成 LetsVPN 的安装文件,并运行 PowerShell 命令,为所有驱动器(C: 至 Z:)添加Microsoft Defender 排除项。然后,它会释放额外的有效载荷,包括一个可执行文件,该可执行文件会截取正在运行的进程的快照,并检查与 360 杀毒软件相关的进程。
该二进制文件使用 VeriSign 颁发的过期证书进行签名,该文件的主要功能是反射加载 DLL 文件,该文件随后连接到 C2 服务器(“134.122.204[.]11:18852”或“103.46.185[.]44:443”),以下载并执行 Winos 4.0。
研究人员表示:“此次活动表明恶意软件操作组织严密、针对特定区域,使用木马化的 NSIS 安装程序悄悄植入 Winos 4.0 阶段性程序。”
它严重依赖内存驻留载荷、反射式 DLL 加载以及使用合法证书签名的诱饵软件来避免触发警报。基础设施重叠和基于语言的攻击目标暗示其与 Silver Fox 威胁组织存在关联,其活动可能针对的是中文环境。
技术报告:
https://www.rapid7.com/blog/post/2025/05/22/nsis-abuse-and-srdi-shellcode-anatomy-of-the-winos-4-0-campaign/
新闻链接:
https://thehackernews.com/2025/05/hackers-use-fake-vpn-and-browser-nsis.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Silver Fox(银狐)利用伪造的 VPN 和浏览器 NSIS 安装程序传播
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论