FortiGuard Labs: Winos 4.0 — фишинговая кампания в Азии
В недавнем анализе FortiGuard Labs исследована многоэтапная кампания злоумышленников, прослеженная по всему региону Азии — от материкового Китая через Тайвань и Японию до Малайзии. Исследование, начатое с наблюдений в январе 2025 года, выявило эволюцию тактик атакующих и связь между локальными операциями благодаря общей инфраструктуре.
Краткое содержание расследования
Атаки опирались на вредоносное ПО версии Winos 4.0, доставляемое через целевые фишинг-письма с вредоносными PDF, маскировавшимися под официальные документы Министерства финансов. Вложения содержали ссылки, ведущие к загрузке инсталлятора, что указывает на более широкую стратегию, выходящую за рамки локализованных целей.
Инфраструктурные связи и география атак
- По мере распространения атак в Малайзии исследователи установили связь с предыдущими кампаниями через общую инфраструктуру.
- Ключевым элементом стала связь с доменом twczb.com, ранее использовавшимся в фишинговых операциях, ориентированных на Тайвань.
- Этот домен был привязан к тому же IP-адресу, что и кампании в Малайзии, что подчеркивает дублирование инфраструктуры и координацию действий злоумышленников.
Этапы атаки и состав вредоносного конфига
Атака реализована по многоступенчатой схеме с использованием специально изготовленной библиотеки dokan2.dll, выступающей в роли загрузчика shell-кода. Основные элементы кампании:
- Фишинговая приманка: PDF-файл, стилизованный под документ налоговой проверки, вынуждающий пользователя запустить вредоносную составляющую.
- Загрузчик:
dokan2.dll, который внедряет shell-код. - Подготовка окружения: компонент
sw.dat, управляющий повышением привилегий через маскировку под службу TrustedInstaller и реализующий проверки, направленные на обнаружение виртуальных машин. - Файлы-обфускаторы: сгенерированные при установке файлы, такие как
TimeBrokerClient.dllиmsvchost.dat, выполняющие shell-код в памяти и использующие имена, производные от имен процессов, в качестве ключей для расшифровки. - Функция обновления инфраструктуры: в полезной нагрузке присутствует функция HoldingHands, позволяющая динамически обновлять IP-адреса C2 через записи реестра.
Методы уклонения и усложнения анализа
Атака сочетает несколько техник для сокрытия присутствия и усложнения анализа:
- Многоуровневая архитектура с загрузчиками и компонентами, исполняющимися в памяти.
- Использование имен файлов, производных от имен процессов, как ключей дешифрования — прием, затрудняющий статический анализ.
- Имитация легитимных служб (TrustedInstaller) для повышение привилегий и обхода ограничений.
- Проверки на наличие виртуальных машин и другие меры, препятствующие обратной разработке.
Значение механизма динамического обновления
Модуль HoldingHands — ключевой элемент устойчивости кампании. Позволяя атакующим менять IP-адреса C2 через реестр, этот механизм снижает затраты на поддержание инфраструктуры и повышает шансы обхода блокировок и takedown-операций.
«FortiGuard Labs подчеркивает, что, хотя злоумышленники используют изощренные тактики уклонения и методы фишинга, характеристики их операций позволяют получить важную информацию, связывающую их деятельность в нескольких странах.»
Выводы
Анализ FortiGuard Labs указывает на скоординированную, нарастающую кампанию с гибкой инфраструктурой и продвинутыми механизмами уклонения. Связь между доменом twczb.com и кампаниями в нескольких странах демонстрирует, что злоумышленники масштабируют операции, повторно используя ресурсы и адаптируя тактики под новые цели. Распознавание этих шаблонов поведения и анализа инфраструктуры важно для формирования целостного представления об угрозе и координации ответных мер.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
