Fordiguard Labs, Tayvan’daki bireylere odaklanan Microsoft Windows kullanıcılarını hedefleyen Winos 4.0 olarak adlandırılan yeni bir kötü amaçlı yazılım zorluğu ortaya çıkardı.
İlk olarak Ocak 2025’te tespit edilen bu kötü niyetli kampanya, Tayvan’ın Ulusal Vergilendirme Bürosu’ndan iletişim olarak görünen kurnaz kimlik avı taktiklerinden yararlanıyor.
Kimlik avı kampanyası Tayvanlı kullanıcıları hedefliyor
Saldırganlar, kötü amaçlı yazılımları, karmaşık bir enfeksiyon zinciri başlatan kötü niyetli ekler veya köprüler içeren aldatıcı e -postalar yoluyla dağıtır.
.png
)
Bu tehdidin etkisi şiddetlidir, çalınan veriler potansiyel olarak gelecekteki siber saldırıları körükleyerek yüksek bir şiddet derecelendirmesi kazanır. Winos 4.0’ın teknik karmaşıklığı onu önemli bir tehdit olarak ayırıyor.
Kötü amaçlı yazılımlar genellikle, şüpheli alıcıların derhal harekete geçmesi için vergiler veya faturalarla ilgili yemleri kullanarak hükümet veya ticari kuruluşları taklit eden kimlik avı e -postaları aracılığıyla teslim edilir.
Bu e -postalar sıklıkla HTML dosyaları veya TWSZZ gibi alanlardan olanlar gibi gömülü bağlantılara sahip PDF’ler içerir.[.]Parola korumalı zip dosyalarını barındıran sayfaları indirmeye yol açar.
Karmaşık saldırı zinciri
Bu arşivler içinde, meşru yürütülebilir ürünler, dohan2.dll gibi DLL’ler ve GH0STBINS olarak da bilinen elverişli erişim Trojan’a (sıçan) dayanan şifreli kabuk katları dahil olmak üzere çoklu bileşenler bulunmaktadır.
Yürütme akışı, meşru dosyaların kötü niyetli DLL’ler yüklediği, kabuk eklerini çözdüğü ve yazılım \ msuptas gibi kayıt defteri anahtarları aracılığıyla kalıcılık oluşturduğu yan yükleme tekniklerini içerir.
Anti-VM kontrolleri, fiziksel RAM 8 GB’ın altında olup olmadığını sonlandırarak kaçınmayı sağlarken, ayrıcalık artış taktikleri sistem kullanıcılarını Winlogon aracılığıyla yüksek erişim elde etmek için taklit eder.
Kurulum sonrası, kötü amaçlı yazılım, IP adresleri, sistem mimarisi ve kayıt defteri değerleri de dahil olmak üzere hassas kullanıcı verilerini eklemek için komut ve kontrol (C2) sunucularıyla iletişim kuran msgdb.dat gibi yükleri dağıtır.
Kalp atışı paketleri aktif bağlantıları korur ve uzak masaüstü araçları ve dosya yöneticileri gibi ek modüller talep üzerine indirilebilir.
Bu kalıcı evrim, GH0STCRINE gibi ilgili suşların yanı sıra, tehdit grubunun taktik, teknik ve prosedürlere acımasız adaptasyonunu gösterir.
Rapora göre, Fordiguard’ın devam eden izlemesi, FortiGate, Fortimail ve Forticlient çözümlerine entegre edilmiş PDF/Agent.a6dc!
Dahası, Fordiguard’ın IP itibarı ve botnet karşıtı hizmetler, riskleri azaltmak için proaktif olarak kötü niyetli kaynakları engeller.
Organizasyonlardan savunmalarını güncellemeleri ve Fortinet’in kullanıcıları kimlik avı riskleri konusunda eğitmek için ücretsiz NSE eğitiminden yararlanarak bu gelişen siber tellere karşı güçlü bir koruma sağlaması isteniyor.
Uzlaşma Göstergeleri (IOCS)
Aşağıdaki tabloda, WINOS 4.0 ile ilişkili kritik IOC’leri listelemekte, kuruluşlara bu tehdidi tespit etmede ve engellemeye yardımcı olur:
| Tip | Gösterge |
|---|---|
| IP adresi | 154[.]91[.]85[.]204, 154[.]86[.]22[.]47, diğerleri |
| İhtisas | TWSWZ[.]TOP, TWSWZZ[.]Xin, diğerleri |
| Kimlik avı postası | 6558dfb070421c674b377a0a6090593fa0c44d5b0dec5325a648583f92175ce2, diğerleri |
| a8b6c06daeee6199e69f4cafd79299219def5bf913a31829dede98a8ad2aaa9, diğerleri | |
| Zip | ac957ba4796f06c4bf0c0afb8674bbeb30eb95cef85bc68ced3ee1aaa3e3acff, diğerleri |
| Yürütülebilir | E2269B38655A4D75078362856C16594E195CD647C56B8C5583B8E1286BAA658, Diğerleri |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin