Yeni bir kampanya, Tayvan’daki şirketleri hedefliyor. Winos 4.0 Ülkenin Ulusal Vergilendirme Bürosu olarak maskelenen kimlik avı e -postalarının bir parçası olarak.
Geçen ay Fortinet Fordiguard Labs tarafından tespit edilen kampanya, kötü amaçlı oyunla ilgili uygulamalardan yararlanan önceki saldırı zincirlerinden ayrılıyor.
“Gönderen, eklenen kötü amaçlı dosyanın vergi denetimi için planlanan işletmelerin bir listesi olduğunu iddia etti ve alıcıdan bilgileri şirketlerinin saymanına iletmesini istedi.” söz konusu Hacker News ile paylaşılan bir raporda.
Ek, Maliye Bakanlığı’ndan resmi bir belgeyi taklit ederek alıcıyı vergi denetimi için planlanan işletmeler listesini indirmeye çağırıyor.
Ancak gerçekte, liste, bir sonraki saldırı aşaması için zemin hazırlayan ve bir Winos 4.0 modülünü uzak bir sunucudan indirmekten sorumlu olan kabuk kodunun yürütülmesine yol açan kötü amaçlı bir DLL (“Lastbld2base.dll”) içeren bir zip dosyasıdır (“206.238.221[.]60 “) hassas veri toplamak için.
Bir giriş modülü olarak tanımlanan bileşen, ekran görüntüleri alabilir, tuş vuruşlarını kaydetme, pano içeriğini değiştirebilir, bağlı USB cihazlarını izleyebilir, kabuk kodunu çalıştırabilir ve Kingsoft güvenlik ve huorong’dan güvenlik istemleri görüntülendiğinde hassas eylemlerin (örn. CMD.EXE) yürütülmesine izin verebilir.
Fortinet, bir ikinci saldırı zinciri de gözlemlediğini söyledi. Çevrimiçi Modül WeChat ve çevrimiçi bankaların ekran görüntülerini yakalayabilir.
Bunu belirtmek gerekir saldırı seti WinOS 4.0 kötü amaçlı yazılımının dağıtılması, Arachne ve Silver Fox’u boşaltılmış olarak atandı ve kötü amaçlı yazılımlar da Vallereyat olarak izlenen başka bir uzaktan erişim Truva atı ile örtüşüyor.
Forescout’un Vedere laboratuvarlarında güvenlik araştırması başkanı Daniel Dos Santos, “Her ikisi de aynı kaynaktan türetilmiştir: Çin’de geliştirilen ve 2008’de açık kaynaklı GH0ST Rat.” Dedi.
“Winos ve Vallevrat, farklı noktalardaki farklı araştırmacılar tarafından gümüş tilkiye atfedilen GH0ST sıçanının varyasyonlarıdır. Winos, 2023 ve 2024’te yaygın olarak kullanılan bir isimdir, şimdi Vallereyrat daha yaygın olarak kullanılır. Araç sürekli gelişmektedir ve hem yerel truva/sıçan yeteneklerinin yanı sıra komut-control sunucusu vardır.”
Valilratİlk olarak 2023’ün başlarında tanımlanan, yakın zamanda Çince konuşan kullanıcıları enfekte etmek için bir kanal olarak sahte krom siteler kullanılarak gözlemlenmiştir. GH0ST Rat’ı teslim etmek için benzer sürücü-by indirme şemaları da kullanılmıştır.
Ayrıca, Winos 4.0 saldırı zincirleri, sahte yazılım veya oyunla ilgili uygulamalar olarak dağıtılan bir MSI yükleyici paketi aracılığıyla yürütülen CleverSoar yükleyicisi olarak adlandırılan şeyi dahil etti. Cleversoar üzerinden Winos 4.0 ile birlikte açık kaynaklı Nidhogg rootkit.
“Cleversoar yükleyicisi […] Çince veya Vietnamca olarak ayarlanıp ayarlanmadıklarını doğrulamak için kullanıcının dil ayarlarını kontrol eder, “Rapid7 dikkat çeken “Dil tanınmazsa, yükleyici sonlandırılır ve enfeksiyonu etkili bir şekilde önler. Bu davranış, tehdit oyuncunun öncelikle bu bölgelerdeki kurbanları hedeflediğini kuvvetle göstermektedir.”
Açıklama, Silver Fox APT’nin Philips Dicom izleyicilerinin Trojanize versiyonlarını Vallereyat’ı dağıtmak için kullanan yeni bir kampanyaya bağlı olduğu ve daha sonra bir Keylogger’ı bırakmak için kullanılan ve kurban bilgisayarlarına bir kripto para madencisi ile bağlantılı olduğu için geliyor. Özellikle, saldırıların antivirüs yazılımını devre dışı bırakmak için Truesight sürücüsünün savunmasız bir versiyonunu kullandığı bulunmuştur.
“Bu kampanya, mağdur sistemleri uzaktan erişim ve kontrol için bir arka kapı (Vallereyrat) ile enfekte etmeye, kullanıcı etkinliğini ve kimlik bilgilerini yakalamak için bir anahtarloger ve finansal kazanç için sistem kaynaklarını kullanmak için bir kripto madencisi” için tütsüden oluşan DICOM izleyicilerinden yararlanıyor. söz konusu.
