Yeni bir kampanya, Tayvan’daki şirketleri hedefliyor. Winos 4.0 Ülkenin Ulusal Vergilendirme Bürosu olarak maskelenen kimlik avı e -postalarının bir parçası olarak.
Geçen ay Fortinet Fordiguard Labs tarafından tespit edilen kampanya, kötü amaçlı oyunla ilgili uygulamalardan yararlanan önceki saldırı zincirlerinden ayrılıyor.
Hacker News ile paylaşılan bir raporda, “Gönderen, eklenen kötü amaçlı dosyanın vergi denetimi için planlanan işletmelerin bir listesi olduğunu iddia etti ve alıcıdan bilgileri şirketlerinin saymanına iletmesini istedi.” Dedi.
Ek, Maliye Bakanlığı’ndan resmi bir belgeyi taklit ederek alıcıyı vergi denetimi için planlanan işletmeler listesini indirmeye çağırıyor.
Ancak gerçekte, liste, bir sonraki saldırı aşaması için zemin hazırlayan ve bir Winos 4.0 modülünü uzak bir sunucudan indirmekten sorumlu olan kabuk kodunun yürütülmesine yol açan kötü amaçlı bir DLL (“Lastbld2base.dll”) içeren bir zip dosyasıdır (“206.238.221[.]60 “) hassas veri toplamak için.
Bir giriş modülü olarak tanımlanan bileşen, ekran görüntüleri alabilir, tuş vuruşlarını kaydetme, pano içeriğini değiştirebilir, bağlı USB cihazlarını izleyebilir, kabuk kodunu çalıştırabilir ve Kingsoft güvenlik ve huorong’dan güvenlik istemleri görüntülendiğinde hassas eylemlerin (örn. CMD.EXE) yürütülmesine izin verebilir.
Fortinet, WeChat ve çevrimiçi bankaların ekran görüntülerini yakalayabilen bir çevrimiçi modül indiren ikinci bir saldırı zinciri gözlemlediğini söyledi.
WinOS 4.0 kötü amaçlı yazılımları dağıtan izinsiz giriş setinin Arachne ve Silver Fox’u boşaltma atandığını, kötü amaçlı yazılımların da Vallevray olarak izlenen başka bir uzaktan erişim ile örtüştüğünü belirtmek gerekir.
Forescout’un Vedere laboratuvarlarında güvenlik araştırması başkanı Daniel Dos Santos, “Her ikisi de aynı kaynaktan türetilmiştir: Çin’de geliştirilen ve 2008’de açık kaynaklı GH0ST Rat.” Dedi.
“Winos ve Vallevrat, farklı noktalardaki farklı araştırmacılar tarafından gümüş tilkiye atfedilen GH0ST sıçanının varyasyonlarıdır. Winos, 2023 ve 2024’te yaygın olarak kullanılan bir isimdir, şimdi Vallereyrat daha yaygın olarak kullanılır. Araç sürekli gelişmektedir ve hem yerel truva/sıçan yeteneklerinin yanı sıra komut-control sunucusu vardır.”
İlk olarak 2023’ün başlarında tanımlanan Vallereyrat, yakın zamanda Çince konuşan kullanıcıları enfekte etmek için bir kanal olarak sahte krom siteleri kullanılarak gözlendi. GH0ST Rat’ı teslim etmek için benzer sürücü-by indirme şemaları da kullanılmıştır.
Ayrıca, Winos 4.0 saldırı zincirleri, sahte yazılım veya oyunla ilgili uygulamalar olarak dağıtılan bir MSI yükleyici paketi aracılığıyla yürütülen CleverSoar yükleyicisi olarak adlandırılan şeyi dahil etti. Ayrıca Winos 4.0’ın yanına Cleversoar’ın açık kaynaklı Nidhogg rootkit’si var.
“Cleversoar yükleyicisi […] Çin veya Vietnamca olarak ayarlanıp ayarlanmadıklarını doğrulamak için kullanıcının dil ayarlarını kontrol ediyor, “Rapid7 Kasım 2024’ün sonlarında kaydetti.” Dil tanınmazsa, yükleyici sonlandırılır ve enfeksiyonu etkili bir şekilde önler. Bu davranış, tehdit oyuncusunun öncelikle bu bölgelerdeki kurbanları hedeflediğini şiddetle göstermektedir. “
Açıklama, Silver Fox APT’nin Philips Dicom izleyicilerinin Trojanize versiyonlarını Vallereyat’ı dağıtmak için kullanan yeni bir kampanyaya bağlı olduğu ve daha sonra bir Keylogger’ı bırakmak için kullanılan ve kurban bilgisayarlarına bir kripto para madencisi ile bağlantılı olduğu için geliyor. Özellikle, saldırıların antivirüs yazılımını devre dışı bırakmak için Truesight sürücüsünün savunmasız bir versiyonunu kullandığı bulunmuştur.
Forescout, “Bu kampanya, mağdur sistemleri uzaktan erişim ve kontrol için bir arka kapı (Vallereyat), kullanıcı etkinliği ve kimlik bilgilerini yakalamak için bir anahtarloger ve finansal kazanç için sistem kaynaklarını kullanmak için bir kripto madencisi ile enfekte etmek için tütsülemeli DICOM izleyicilerini kullanıyor.”