Hafıza yerleşik bir Stager olan Winos 4.0’ı dağıtan gelişmiş bir kötü amaçlı yazılım kampanyası, Rapid7 tarafından ortaya çıkarıldı ve kullanıcıları LETSVPN ve QQBrowser gibi popüler yazılımların sahte yükleyicileri aracılığıyla hedef aldı.
Başlangıçta Şubat 2025 Yönetilen Tespit ve Yanıt (MDR) soruşturmasında tespit edilen bu operasyon, Catena yükleyici olarak adlandırılan çok katmanlı bir enfeksiyon zinciri kullanır.
Geleneksel antivirüs araçlarından kaçarak tamamen bellekte yükler sunmak için truva atlı NSIS yükleyicileri kullanır.
.png
)
Kampanya truva atışçılardan yararlanır
2025 boyunca faaliyet gösteren kampanya, ağırlıklı olarak Çince konuşan ortamlara odaklanıyor ve öncelikle Hong Kong’da ev sahipliği yapıyor ve potansiyel olarak Silver Fox Apt ile bağlantılı yetenekli bir tehdit grubu tarafından yüksek bir planlama gösteriyor.
Catena Loader’ın enfeksiyon süreci, kabuk kümesi gömülü INI dosyaları ve yansıtıcı DLL’ler gibi kötü niyetli bileşenlerin yanı sıra aldatıcı, imzalı yürütülebilir dosyaları bırakan meşru NSIS montajcıları ile başlar.
Bir QQBrowser yükleyicisini içeren Şubat MDR davasında Rapid7, %AppData %’de bir Axialis dizininin oluşturulmasını, konfign.ini ve config2.ini arasında yükleri değiştirmek için Mutex tabanlı mantık kullanan konut komut dosyaları ve DLL’ler, hepsi de yansıtıcı DLL enjeksiyonu yoluyla yürütüldü.
Nisan 2025’e kadar taktikler, PowerShell komut dosyalarının yerini algılama basınçlarına uyarlanabilirlik gösteren Regsvr32.exe aracılığıyla doğrudan DLL çağrısı ile değiştirildiği LetsVPN yükleyicisi gibi örneklerde gelişti.
Bellek içi infaz
Yürütüldükten sonra, Winos 4.0, ek yükler almak için TCP bağlantı noktası 18852 veya HTTPS bağlantı noktası 443 üzerinden saldırgan kontrollü sunuculara bağlanır ve planlanan görevler ve Monitor.bat gibi bekçi komut dosyaları, kötü amaçlı yazılımları sonlandırılırsa yeniden başlatır.
Kötü amaçlı yazılım ayrıca Çince dil ayarlarını kontrol eder, ancak bu filtre kesinlikle uygulanmamış ve bölgesel hedefleme niyetini ima eder.
Bu kampanyanın teknik karmaşıklığı, bellek içi yürütme için SRDI (Shellcode yansıtıcı DLL enjeksiyonu) kullanımında yatmakta, disk ayak izlerini en aza indirmek ve uç nokta savunmalarını atlamaktır.
“Vjancavesu” ve “Zhuxianlu” kontrol yük seçimi gibi sert kodlanmış muteksler, iş parçacıkları PowerShell istisnaları aracılığıyla Microsoft Defender’ı devre dışı bırakma ve davranışları değiştirmek için Telegram.exe gibi işlemleri tarama gibi görevleri yönetir.
Altyapı analizi, 134.122.204.11:18852 ve 103.46.185.44:443 dahil tutarlı C2 sunucularını ortaya çıkardı ve aynı Winos 4.0 stagers dağıttı, Shodan taramaları tarafından desteklenen çoklu IP’lerde paylaşılan yükleri gösterdi.
Meta verileri, Çin kalkınma yollarına atıfta bulunarak yüklerden hata ayıklamak, bölgesel odağı daha da desteklemektedir.
RAPID7, varyantları izlemeye devam ediyor, bu gelişen tehdide karşı koymak için algılamaları dağıtmaya devam ediyor, bu da gizli ve kalıcılığı korumak için meşru yazılım cepheleri ve bellek tabanlı tekniklerden yararlanan rafine bir oyun kitabını gösteriyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya (config.ini) | E2490CFD25D8E6A7888F70B56FF840944DE3B3D8BC5464D3ADABBA8B32177 | Shellcode ile yapılandırma |
| Dosya (intel.dll) | B8e8a13859ed42e6e708346c555a094fdc3fbd69c3c1cb9efb43c08c86fe32d0 | İkincil yükleyici DLL |
| Ağ | 134.122.204.11:18852 | Yük Teslimatı için C2 Sunucusu |
| Ağ | 103.46.185.44:443 | Alternatif C2 Sunucusu |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!