HackerNews 编译,转载请注明出处:
网络安全研究人员披露了一场恶意软件活动,该活动通过伪装为LetsVPN、QQ浏览器等流行工具的虚假软件安装程序,最终投递Winos 4.0框架。这项由Rapid7在2025年2月首次监测到的攻击行动,使用了名为Catena的多阶段驻内存加载器。
“Catena通过嵌入shellcode和配置切换逻辑,将Winos 4.0等有效载荷完全驻留内存,规避了传统杀毒软件的检测,”安全研究人员安娜·希罗科娃与伊万·费格尔表示,“植入后,它会静默连接攻击者控制的服务器——多数位于香港——接收后续指令或额外恶意程序。”这类攻击与历史上部署Winos 4.0的案例相似,似乎专门针对中文环境,网络安全公司指出幕后存在具备高度能力的威胁组织进行“缜密的长期规划”。
趋势科技于2024年6月首次公开记录到Winos 4.0(又名ValleyRAT),当时该恶意程序通过VPN应用的恶意Windows安装包(MSI文件)针对中文用户发起攻击。相关活动被归因于追踪代号为Void Arachne的威胁集团,该组织也被称为Silver Fox。
后续传播该恶意软件的行动转而使用游戏相关应用作为诱饵,包括安装工具、加速器和优化程序等,诱骗用户安装。2025年2月披露的另一次攻击浪潮通过伪装台湾地区税务机构的钓鱼邮件针对当地实体。
基于知名远程木马Gh0st RAT的代码基础,Winos 4.0是采用C++编写的先进恶意框架,利用插件化系统实现数据窃取、远程Shell访问及发动分布式拒绝服务(DDoS)攻击。
2025年2月发现的基于QQ浏览器的感染流程显示,所有相关攻击载体均依赖NSIS安装程序。这些安装包捆绑了经过签名的诱饵应用,将shellcode嵌入.ini文件,并通过反射式DLL注入技术实现隐蔽驻留。整个感染链被命名为Catena。
研究人员指出:“该活动在2025年全年持续活跃,感染链保持稳定但存在战术调整,显示出攻击者具备强大适应能力。”攻击起点是伪装成腾讯开发的QQ浏览器安装包的恶意NSIS程序,通过Catena框架投递Winos 4.0。恶意程序通过TCP 18856端口和HTTPS 443端口与硬编码的C2基础设施通信。
在2025年4月发现的LetsVPN安装包攻击案例中,恶意程序通过创建计划任务实现持久化,这些任务在初始入侵数周后执行。虽然该恶意软件包含检测系统中文语言设置的显性校验,但即使未发现中文环境仍会继续执行。
这一现象表明该功能尚未完善,预计会在后续版本中改进。Rapid7透露,2025年4月监测到攻击者进行了“战术调整”,不仅修改了Catena执行链的某些组件,还新增了反杀毒检测规避功能。
新版攻击流程中,NSIS安装程序伪装成LetsVPN安装文件,运行PowerShell命令为所有驱动器(C:\至Z:\)添加Microsoft Defender排除项。随后释放的恶意载荷包含一个可执行文件,该文件会对运行进程进行快照扫描,检查是否存在奇虎360开发的杀毒软件相关进程。
该二进制文件使用威瑞信颁发的过期证书进行签名,证书显示归属方为腾讯科技(深圳),有效期从2018年10月11日至2020年2月2日。其主要功能是反射式加载DLL文件,该DLL会连接C2服务器(134.122.204[.]11:18852或103.46.185[.]44:443)以下载执行Winos 4.0。
研究人员总结称:“该行动展现出高度组织化的区域性恶意软件攻击模式,通过特制NSIS安装程序静默植入Winos 4.0。攻击者大量使用内存驻留载荷、反射式DLL加载及合法证书签名的诱饵软件规避告警,基础设施重叠和语言定向特征暗示其与Silver Fox APT存在关联,活动目标可能持续锁定中文语系环境。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
