Хакерите все по-често се насочват към потребителите на Windows със зловредната рамка Winos4.0, разпространявана чрез привидно доброкачествени приложения, свързани с игри.
Инструментариумът е еквивалент на постексплоатационните рамки Sliver и Cobalt Strike и беше документиран от Trend Micro това лято в доклад за атаки срещу китайски потребители.
Тогава злосторник, проследен като Void Arachne/Silver Fox, примамваше жертвите с предложения за различен софтуер (VPN, браузър Google Chrome), модифициран за китайския пазар, който включваше зловредния компонент.
В днешния доклад на компанията за киберсигурност Fortinet се посочва, че дейността се е развила, като хакерите вече залагат на игри и файлове, свързани с игри, за да продължат да атакуват китайски потребители.
Когато привидно легитимните инсталатори се изпълнят, те изтеглят DLL файл от „ad59t82g[.]com“, за да започнат многоетапен процес на заразяване.
На първия етап DLL файлът (you.dll) изтегля допълнителни файлове, създава среда за изпълнение и установява устойчивост чрез добавяне на записи в регистъра на Windows.
На втория етап инжектираният шелкод зарежда API, извлича данни за конфигурацията и установява връзка със сървъра за командване и управление (C2).
В третата фаза друг DLL (上线模块.dll) извлича допълнително кодирани данни от C2 сървъра, съхранява ги в регистъра на адрес „HKEY_CURRENT_USER\\Console\\0“ и актуализира адресите на C2.
На последния етап от веригата на атаката се зарежда модулът за вход (登录模块.dll), който извършва основните злонамерени действия:
Winos4.0 проверява за наличието на различни инструменти за сигурност в системата, включително Kaspersky, Avast, Avira, Symantec, Bitdefender, Dr.Web, Malwarebytes, McAfee, AhnLab, ESET, Panda Security и спрения вече Microsoft Security Essentials.
Като идентифицира тези процеси, злонамереният софтуер определя дали се изпълнява в наблюдавана среда и съответно коригира поведението си или спира изпълнението.
Хакерите продължават да използват рамката Winos4.0 от няколко месеца насам и появата на нови кампании е показател, че ролята ѝ в злонамерените операции изглежда се е затвърдила.
Fortinet описва рамката като мощна, която може да се използва за контрол на компрометирани системи, с функционалност, подобна на Cobalt Strike и Sliver. Индикатори за компрометиране (IoC) са налични в докладите на Fortinet и Trend Micro.
Инфографики: Fortinet
Базова информация: Fortinet и Trend Micro
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
