關(guān)鍵詞

網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)安全研究人員披露了一項(xiàng)新型攻擊活動(dòng)，該活動(dòng)通過(guò)偽造的安裝程序冒充熱門(mén)應(yīng)用（如 LetsVPN 和 QQ 瀏覽器）傳播名為 Winos 4.0 的惡意框架。

該攻擊活動(dòng)最早由 Rapid7 于 2025 年 2 月發(fā)現(xiàn)，其核心是一個(gè)名為 Catena 的多階段、內(nèi)存常駐型加載器。

安全研究人員 Anna ?irokova 和 Ivan Feigl 表示：“Catena 使用嵌入的 shellcode 及配置切換邏輯，在內(nèi)存中加載類似 Winos 4.0 的有效負(fù)載，從而繞過(guò)傳統(tǒng)殺毒工具的檢測(cè)。一旦成功安裝，它會(huì)悄悄連接到攻擊者控制的服務(wù)器（多數(shù)位于香港），以接收后續(xù)指令或進(jìn)一步的惡意軟件。”

與以往部署 Winos 4.0 的攻擊一樣，這次行動(dòng)顯然仍集中針對(duì)中文使用環(huán)境。安全公司指出，攻擊者展現(xiàn)出“細(xì)致而長(zhǎng)期的籌劃”，具備較高的技術(shù)水平。

Winos 4.0（又名 ValleyRAT）最早由趨勢(shì)科技于 2024 年 6 月公開(kāi)披露，攻擊對(duì)象主要為中文用戶，采用惡意 Windows 安裝文件（MSI）偽裝為 VPN 應(yīng)用進(jìn)行傳播。該攻擊活動(dòng)被歸類于一個(gè)被稱為 Void Arachne（又稱 Silver Fox）的攻擊組織。

后續(xù)的攻擊行動(dòng)中，攻擊者也曾利用與游戲相關(guān)的應(yīng)用程序（如安裝工具、提速軟件和優(yōu)化工具）誘導(dǎo)用戶中招。2025 年 2 月，一波新的攻擊針對(duì)臺(tái)灣機(jī)構(gòu)，釣魚(yú)郵件偽裝成國(guó)家稅務(wù)機(jī)關(guān)發(fā)送。

Winos 4.0 基于已知的遠(yuǎn)程訪問(wèn)木馬 Gh0st RAT 構(gòu)建，是一套用 C++ 編寫(xiě)的高級(jí)惡意軟件框架，采用插件式架構(gòu)，能夠采集信息、提供遠(yuǎn)程 shell 訪問(wèn)功能，并發(fā)起分布式拒絕服務(wù)（DDoS）攻擊。Rapid7 表示，2025 年 2 月發(fā)現(xiàn)的所有惡意樣本都使用 NSIS 安裝包，并捆綁有簽名的誘餌程序、嵌入.ini文件的 shellcode 以及反射式 DLL 注入技術(shù)，從而在受害系統(tǒng)上維持隱蔽持久性并規(guī)避檢測(cè)。整條感染鏈被命名為 Catena。

研究人員指出，該攻擊活動(dòng)貫穿整個(gè) 2025 年，其感染鏈保持一致，僅在戰(zhàn)術(shù)上有所調(diào)整，顯示出攻擊者的成熟性和適應(yīng)能力。

攻擊鏈的起點(diǎn)是一份被篡改的 NSIS 安裝包，它偽裝成騰訊開(kāi)發(fā)的 Chromium 內(nèi)核瀏覽器 QQ 瀏覽器的安裝程序，通過(guò) Catena 投遞 Winos 4.0。該惡意軟件通過(guò)硬編碼的 C2 基礎(chǔ)設(shè)施通信，使用 TCP 端口 18856 和 HTTPS 端口 443。為實(shí)現(xiàn)持久駐留，它會(huì)注冊(cè)計(jì)劃任務(wù)，在初次感染數(shù)周后才開(kāi)始執(zhí)行。盡管其代碼中包含檢查系統(tǒng)語(yǔ)言是否為中文的邏輯，即使不是中文環(huán)境，它也會(huì)繼續(xù)執(zhí)行，這表明該功能尚未完善，可能在后續(xù)版本中正式啟用。

Rapid7 在 2025 年 4 月還識(shí)別出一項(xiàng)“策略性轉(zhuǎn)變”，不僅調(diào)整了 Catena 的執(zhí)行鏈，還加入了規(guī)避殺毒軟件的新功能。在這版攻擊序列中，NSIS 安裝包偽裝為 LetsVPN 的安裝程序，運(yùn)行一段 PowerShell 命令，將 Microsoft Defender 的所有盤(pán)符（C:\ 至 Z:\）加入排除列表。隨后它會(huì)釋放更多有效負(fù)載，包括一個(gè)可執(zhí)行文件，該文件會(huì)抓取系統(tǒng)中正在運(yùn)行的進(jìn)程快照，并檢查是否存在與奇虎 360 開(kāi)發(fā)的“360 安全衛(wèi)士”相關(guān)的進(jìn)程。

該二進(jìn)制文件使用的是一份已過(guò)期的 VeriSign 證書(shū)簽名，名義上屬于“騰訊科技（深圳）有限公司”，證書(shū)有效期為 2018 年 10 月 11 日至 2020 年 2 月 2 日。它的主要功能是反射式加載一個(gè) DLL 文件，而該 DLL 文件會(huì)連接至 C2 服務(wù)器

（如“134.122.204[.]11:18852”或“103.46.185[.]44:443”），用于下載并執(zhí)行 Winos 4.0。

研究人員表示：“此次行動(dòng)展現(xiàn)了一場(chǎng)有組織、區(qū)域聚焦的惡意軟件作業(yè)，利用被植入木馬的 NSIS 安裝程序悄然投放 Winos 4.0 初始載荷。”

“它高度依賴內(nèi)存中的有效負(fù)載、反射式 DLL 加載，以及簽名誘餌程序以躲避檢測(cè)。攻擊基礎(chǔ)設(shè)施之間存在重疊，語(yǔ)言偏向的目標(biāo)策略也暗示了其與 Silver Fox APT 的聯(lián)系，其攻擊目標(biāo)很可能仍是中文使用環(huán)境。”

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！