資安研究人員揭露一起大規模惡意軟體攻擊活動,駭客利用偽裝成熱門工具如LetsVPN和QQ瀏覽器的假冒軟體安裝程式,散布Winos 4.0惡意框架。Winos 4.0又稱ValleyRAT。此次攻擊顯示威脅行為者對中文用戶環境的精準鎖定,展現高度組織化的長期攻擊策略。
多階段記憶體攻擊鏈「Catena」現身
Rapid7於今年2月首次偵測到這波攻擊活動,發現駭客使用名為「Catena」的多階段記憶體駐留載入器作為主要攻擊工具。資安研究員Anna Širokova與Ivan Feigl指出:「Catena使用嵌入式shellcode和配置切換邏輯,將Winos 4.0等載荷完全載入記憶體中執行,成功規避傳統防毒工具偵測。」
一旦安裝完成,惡意軟體會悄悄連接到攻擊者控制的伺服器,目前觀察到伺服器主要託管於香港,接收後續指令或下載額外惡意軟體。研究人員強調,這些攻擊展現出「精心策劃的長期規劃」,背後是技術能力極強的威脅行為者。
Winos 4.0:基於Gh0st RAT的進階框架
Winos 4.0,又稱
ValleyRAT,首次於2024年6月由趨勢科技公開記錄,當時發現其透過VPN應用程式的惡意Windows安裝檔(MSI)攻擊中文用戶。此活動被歸因於名為Void Arachne,又名Silver Fox的威脅組織。
這個建構於知名遠端存取木馬Gh0st RAT基礎上的進階惡意框架,採用C++撰寫並使用外掛式系統架構,具備資料竊取、遠端Shell存取及發動分散式拒絕服務(DDoS)攻擊等多重功能。
相關文章:Winos4.0透過遊戲應用程式傳播發起威脅活動
2025年2月觀察到的攻擊波次主要透過偽裝成QQ瀏覽器(騰訊開發的Chromium基礎網頁瀏覽器)安裝程式進行。所有樣本均依賴NSIS安裝程式與簽署的誘餌應用程式、嵌入「.ini」檔案的shellcode,以及反射式DLL注入技術來維持持續性並避免偵測。
惡意軟體透過TCP埠18856和HTTPS埠443與硬編碼的命令控制(C2)基礎設施通訊,並透過註冊計畫工作在初次入侵數週後執行來維持系統持續性。
4月戰術轉變:加強反偵測能力
Rapid7於4月發現攻擊者的「戰術轉變」,不僅調整了Catena執行鏈的部分元素,更加入新功能來規避防毒偵測。
在更新的攻擊序列中,NSIS安裝程式偽裝成LetsVPN設定檔,執行PowerShell命令為所有磁碟機(C:\至Z:\)新增Microsoft Defender排除項目。隨後投放額外載荷,包括一個能擷取執行程序快照並檢查360全方位安全軟體相關程序的執行檔。
該執行檔使用已過期的VeriSign憑證簽署,聲稱屬於騰訊科技,憑證有效期為2018年10月11日至2020年2月2日。其主要功能是反射式載入DLL檔案,進而連接C2伺服器下載並執行Winos 4.0。
精準鎖定中文環境
值得注意的是,雖然惡意軟體具備檢查系統中文語言設定的明確功能,但即使不符合條件仍會繼續執行。研究人員認為這是尚未完成的功能,預期將在後續版本中實作,顯示攻擊者對中文用戶環境的明確鎖定意圖。
過往Winos 4.0的散布活動曾利用遊戲相關應用程式(如安裝工具、速度提升器、最佳化工具)作為誘餌。另一波於2025年2月詳細記錄的攻擊則透過偽裝成國稅局的釣魚郵件鎖定台灣實體組織。
基礎設施重疊和語言導向的攻擊目標暗示與Silver Fox APT組織的關聯性。研究人員指出:「這波攻擊活動展現組織完善、區域聚焦的惡意軟體作業,使用木馬化NSIS安裝程式悄悄投放Winos 4.0載入器。」
攻擊大量依賴記憶體駐留載荷、反射式DLL載入,以及使用合法憑證簽署的誘餌軟體來避免觸發警報,整體活動可能專門針對中文語言環境進行。
相關文章:鎖定華語使用者!假Chrome下載網站散布ValleyRAT木馬程式
防護建議
面對此類精密攻擊,資安專家建議:
- 提高警覺性:避免從非官方來源下載軟體,特別是VPN和瀏覽器應用程式
- 加強端點防護:部署能偵測記憶體駐留威脅的進階端點防護解決方案
- 監控網路流量:密切關注異常的TCP和HTTPS連線活動
- 定期更新:確保防毒軟體和作業系統保持最新狀態
- 使用者教育:加強員工對社交工程和偽裝軟體的認知訓練
隨著Winos 4.0持續演進並採用更精密的規避技術,組織必須採取多層次防禦策略來對抗這類進階持續性威脅。
本文轉載自thehackernews。