银狐利用快连 vpn 和 QQ 浏览器传播恶意程序 Winos v4.0

概述

Rapid7安全研究团队最近发现了一个复杂的恶意软件传播活动，攻击者通过伪装成热门软件（如VPN客户端、QQ浏览器等）的安装包来分发Winos v4.0恶意软件。这种恶意软件完全在内存中运行，极难被传统杀毒软件检测到，一旦感染可为攻击者提供远程访问权限。

该活动最早在2025年2月的一次MDR调查中被发现，研究团队将这种多层次的感染链命名为Catena加载器。Catena利用嵌入式shellcode和配置切换逻辑，完全在内存中部署有效载荷，成功规避了传统防病毒工具的检测。

攻击特点

1. 高度隐蔽性

• 恶意软件完全在内存中运行，不在磁盘留下明显痕迹
• 使用反射式DLL注入技术，绕过传统检测机制
• 伪装成合法软件，包含有效的数字证书

2. 多阶段感染链

攻击流程分为多个阶段：

1. 初始感染：用户下载并执行伪装的安装包
2. 载荷投递：通过NSIS脚本部署多个恶意组件
3. 持久化：建立定时任务和进程监控机制
4. 远程控制：连接C&C服务器接收进一步指令

3. 地域针对性

恶意软件包含中文语言检查功能，主要针对中文环境用户，显示出明确的地域针对性。

技术分析

QQ浏览器变种（2025年2月）

最初发现的样本伪装成QQ浏览器安装包QQBrowser_Setup_x64.exe，执行后会在%APPDATA%目录下创建Axialis文件夹并投递多个文件：

• Axialis.vbs - VBScript启动器
• Axialis.ps1 - PowerShell加载器
• Axialis.dll - 恶意DLL
• Config.ini和Config2.ini - 包含shellcode的配置文件

恶意软件通过互斥体VJANCAVESU来决定加载哪个配置文件，展现出复杂的条件执行逻辑。

LetsVPN变种（2025年4月）

随着时间推移，攻击者调整了策略，开始使用regsvr32.exe直接调用DLL，避免使用PowerShell脚本。新变种Lets.15.0.exe伪装成LetsVPN安装包，展现出更强的反检测能力。

关键技术细节：

1. 防御规避

• 自动添加Windows Defender排除项
• 检测并尝试对抗360安全软件
• 使用过期但看似合法的数字证书

2. 持久化机制

• 创建定时任务在用户登录时重新执行
• 部署进程监控脚本，确保恶意软件持续运行
• 多重冗余机制保证长期驻留

3. 条件执行

• 检测特定应用程序（Telegram、WhatsApp）来切换有效载荷
• 基于系统状态动态选择执行路径
• 支持远程终止功能

基础设施分析

研究发现，攻击者使用了分布式的C&C基础设施，主要托管在香港：

多个IP地址共享相同的Winos v4.0载荷

通过Shodan扫描发现8个IP地址分发相同的恶意载荷，表明这是一个协调统一的攻击基础设施：

• 134.122.204[.]11
• 103.46.185[.]44
• 112.213.101[.]161
• 等其它节点

Winos v4.0最终载荷

最终部署的Winos v4.0包含以下配置：

该恶意软件与Silver Fox APT组织存在关联，该组织以通过木马化工具和漏洞利用分发ValleyRAT等恶意软件而闻名。

防护建议

个人用户：

1. 谨慎下载软件：仅从官方渠道下载应用程序
2. 验证数字签名：检查软件的数字证书有效性
3. 保持更新：及时更新操作系统和安全软件
4. 提高警惕：对要求添加杀毒软件排除项的程序保持怀疑

企业用户：

1. 部署EDR解决方案：监控内存中的恶意活动
2. 网络监控：监控异常的网络连接和数据传输
3. 员工培训：提高员工对社会工程学攻击的认识
4. 应急响应：建立完善的安全事件响应机制

威胁指标（IOCs）

文件哈希：

• Lets.15.0.exe: 1E57AC6AD9A20CFAB1FE8EDD03107E7B63AB45CA555BA6CE68F143568884B003
• insttect.exe: 4FDEDADAA57412E242DC205FABDCA028F6402962D3A8AF427A01DD38B40D4512
• intel.dll: B8E8A13859ED42E6E708346C555A094FDC3FBD69C3C1CB9EFB43C08C86FE32D0

网络指标：

• 156.251.17.243:18852
• 134.122.204.11:18852
• 103.46.185.44:443

结论

Catena恶意软件活动展现了现代APT组织的高超技术能力和持续进化的攻击手法。通过多层混淆、内存执行和地域针对性，攻击者成功构建了一个难以检测的恶意软件分发网络。

随着网络威胁的不断演进，个人和企业用户都需要采取更加全面的安全防护策略。仅依赖传统的基于签名的防病毒软件已经不够，需要结合行为分析、内存保护和威胁情报等多种技术手段来应对这类高级威胁。