Новая угроза: вредоносная кампания Winos4.0 атакует Тайвань

Новая угроза: вредоносная кампания Winos4.0 атакует Тайвань

В январе 2025 года FortiGuard Labs представила отчет о вредоносной кампании, нацеленной на тайваньские компании. Злоумышленники использовали сложное вредоносное ПО Winos4.0, которое при помощи социальной инженерии сумело обмануть множество пользователей.

Механизм атаки

Кампания использовала метод социальной инженерии — злоумышленники выдали себя за сотрудников Национального налогового бюро Тайваня в электронном письме. Оно содержало ссылку на зараженный ZIP-файл, замаскированный под список налоговых проверок. Запуск поддельного исполняемого файла ApowerREC.exe активирует загрузку необходимых DLL-файлов, включая lastbld2Base.dll, который представляет собой основную вредоносную полезную нагрузку.

Функции вредоносного ПО

DLL-библиотека lastbld2Base.dll выполняет расшифровку своего кода и извлекает шелл-код, содержащий конфиденциальную информацию, как, например:

  • IP-адрес сервера управления (C2)
  • Параметры реестра

Более того, Winos4.0 реализует ряд передовых технологий, включая:

  • Создание нескольких потоков для выполнения различных задач
  • Захват экрана
  • Ведение кейлогга
  • Мониторинг USB-устройств

Методы обхода защиты

Для избежания обнаружения вредоносная программа использует методы обхода контроля учетных записей пользователей (UAC), манипулируя различными разделами реестра. Она обеспечивает постоянный мониторинг USB-соединений, уведомляя о добавлении или удалении устройств с описаниями на китайском языке.

Архитектура и модульность

Дополнительно, вредоносный компонент с именем The10.exe, скомпилированный из скрипта на Python, облегчает дальнейшую деятельность с помощью Python311.dll. Это подчеркивает модульный характер Winos4.0, позволяя различным компонентам использовать похожие вредоносные схемы под разными названиями.

Заключение и рекомендации

Winos4.0 использует разнообразные домены для своих операций, однако в текущей атаке в основном применялся домен 9010.360sdgg.com. Широкое применение разделов реестра предоставляет значительную гибкость работы вредоносного ПО и потенциально полезную информацию для криминалистов.

FortiGuard Labs продолжает отслеживать эти направления атак, стремясь усилить защитные меры и защитить потенциальные цели от новых угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: