يستخدم المتسللين مثبتات VPN و Browser NSIS لتسليم البرامج الضارة WinOS 4.0
كشف باحثو الأمن السيبراني عن حملة برامج ضارة تستخدم مثبتات البرامج المزيفة التي تتنكر كأدوات شائعة مثل Letsvpn و QQ متصفح لتقديم Winos 4.0 نطاق.
تتضمن الحملة ، التي تم اكتشافها لأول مرة بواسطة Rapid7 في فبراير 2025 ، استخدام محمل متعدد المراحل ، يسمى Catena.
“يستخدم Catena رمز Shellcode المدمج ومنطق تبديل التكوين إلى حمولة مثل WinOS 4.0 بالكامل في الذاكرة ، وتهرب من أدوات مكافحة الفيروسات التقليدية”. قال. “بمجرد التثبيت ، يتصل بهدوء مع الخوادم التي تسيطر عليها المهاجم-معظمها مستضاف في هونغ كونغ-لتلقي تعليمات المتابعة أو البرامج الضارة الإضافية.”
يبدو أن الهجمات ، مثل تلك التي نشرت WinOS 4.0 في الماضي ، تركز بشكل خاص على البيئات الناطقة بالصينية ، مع استدعاء شركة الأمن السيبراني “التخطيط الدقيق والطويل الأجل” من قبل ممثل تهديد قادر للغاية.
تم توثيق WinOS 4.0 (AKA Valleyrat) أولاً من قبل Trend Micro في يونيو 2024 كما هو مستخدم في الهجمات التي تستهدف المستخدمين الناطقين بالصينية عن طريق ملفات تثبيت Windows (MSI) الضارة لتطبيقات VPN. يُعزى النشاط إلى مجموعة التهديدات التي يتتبعها كـ Arachne باطلة ، والتي يشار إليها أيضًا باسم Silver Fox.
الحملات اللاحقة التي توزع البرامج الضارة لها تطبيقات متعلقة بالألعاب مثل أدوات التثبيت ، وتعزيز السرعة ، ومرافق التحسين كإغراء لخداع المستخدمين في تثبيتها. موجة هجوم أخرى مفصلة في فبراير 2025 الكيانات المستهدفة في تايوان عبر رسائل البريد الإلكتروني المخادعة التي يُزعم أنها من المكتب الوطني للضرائب.
تم تصميم WinOS 4.0 ، الذي تم إنشاؤه على قمة أسس طروادة وصول عن بُعد المعروفة ، وهو إطار خبيث متقدم مكتوب في C ++ يستخدم نظامًا قائمًا على المكون الإضافي لحصاد البيانات ، وتوفير الوصول عن بُعد ، وإطلاق هجمات رفض الخدمة الموزعة (DDOS).
 |
| تم ملاحظة تدفق العدوى القائم على QQBrowser في فبراير 2025 |
قال Rapid7 إن جميع القطع الأثرية التي تم وضع علامة عليها في فبراير 2025 اعتمدت على مثبتات NSIS المجمعة بتطبيقات شرك موقعة ، و shellcode مضمنة في ملفات “.ini” ، وحقن DLL العاكس للحفاظ على الثبات على المضيفين المصابين وتجنب الاكتشاف. تم إعطاء سلسلة العدوى بأكملها لقب كاتينا.
وقال الباحثون: “لقد كانت الحملة نشطة حتى الآن طوال عام 2025 ، حيث أظهرت سلسلة عدوى متسقة مع بعض التعديلات التكتيكية – مشيرة إلى ممثل التهديد القادر والتكيف”.
نقطة البداية عبارة عن مثبت NSIS من طراز NSIS ينتحل شخصية مثبت لمتصفح QQ ، وهو متصفح ويب يعتمد على الكروم تم تطويره بواسطة Tencent ، وهو مصمم لتقديم WinOS 4.0 باستخدام Catena. يتواصل البرامج الضارة مع البنية التحتية للسيطرة على القيادة والسيطرة (C2) على منفذ TCP 18856 ومنفذ HTTPS 443.
 |
| من LetSVPN Installer إلى WinOS 4.0 في أبريل 2025 |
يتم تحقيق الثبات على المضيف من خلال تسجيل المهام المجدولة التي يتم تنفيذها بعد أسابيع من التسوية الأولية. على الرغم من أن البرامج الضارة تتميز بفحص صريح للبحث عن إعدادات اللغة الصينية على النظام ، إلا أنها لا تزال تستمر في التنفيذ حتى لو لم يكن هذا هو الحال.
يشير هذا إلى أنها ميزة غير مكتملة وشيء من المتوقع أن يتم تنفيذه في التكرارات اللاحقة للبرامج الضارة. ومع ذلك ، قال Rapid7 إنه حدد في أبريل 2025 “تحولًا تكتيكيًا” لم يقتصر فقط على تبديل بعض عناصر سلسلة تنفيذ Catena ، ولكن أيضًا دمج ميزات للتهرب من اكتشاف الفيروسات.
في تسلسل الهجوم الذي تم تجديده ، يخفي تثبيت NSIS نفسه كملف إعداد لـ LetsVPN ويقوم بتشغيل أمر PowerShell يضيف استبعاد Microsoft Defender لجميع محركات الأقراص (C: \ to z: \). ثم يسقط الحمولات الإضافية ، بما في ذلك التنفيذ الذي يأخذ لقطة من عمليات التشغيل والشيكات للعمليات المتعلقة بـ 360 Total Security ، منتج مكافحة الفيروسات الذي طوره البائع الصيني Qihoo 360.
تم توقيع الثنائي مع شهادة منتهية الصلاحية صادرة عن Verisign ويزعم أنه ينتمي إلى Tencent Technology (Shenzhen). كان ساري المفعول من 2018-10-11 إلى 2020-02-02. إن المسؤولية الأساسية للقابلة للتنفيذ هي تحميل ملف DLL بشكل عكسي يتصل بخادم C2 (“134.122.204[.]11: 18852 “أو” 103.46.185[.]44: 443 “) من أجل تنزيل وتنفيذ WINOS 4.0.
وقال الباحثون: “تُظهر هذه الحملة عملية خبيثة منظمة بشكل جيد التنظيم ، تركز على المستوى الإقليمي باستخدام مثبتات NSIs من طراز NSIS لإسقاط Winos 4.0 Stager بهدوء”.
“إنه يميل بشدة على حمولات المقيمة المقيمة للذاكرة ، وتحميل DLL العاكس ، وبرامج الشرك الموقعة مع شهادات شرعية لتجنب رفع الإنذارات. تداخل البنية التحتية وتلميحات الاستهداف القائمة على اللغة في العلاقات مع Silver Fox APT ، مع وجود نشاط يهدف على الأرجح إلى بيئات الناطقة الصينية.”
