يستخدم Silver Fox Apt البرامج الضارة WinOS 4.0 في الهجمات الإلكترونية ضد المنظمات التايوانية
حملة جديدة تستهدف الشركات في تايوان مع البرامج الضارة المعروفة باسم Winos 4.0 كجزء من رسائل البريد الإلكتروني المخادعة التي تتنكر كمكتب الضرائب الوطني في البلاد.
تمثل الحملة ، التي اكتشفتها الشهر الماضي من قبل Fortinet Fortiguard Labs ، خروجًا عن سلاسل الهجوم السابقة التي استفادت من تطبيقات ذات صلة بالألعاب الخبيثة.
“ادعى المرسل أن الملف الضار المرفق هو قائمة من المؤسسات المقررة للتفتيش الضريبي وطلب من المتلقي إعادة توجيه المعلومات إلى أمين صندوق شركتهم” ، باحث الأمن Pei Han Liao قال في تقرير مشاركته مع أخبار المتسلل.
يحاكي المرفق وثيقة رسمية من وزارة المالية ، وحث المستلم على تنزيل قائمة المؤسسات المجدولة لفحص الضرائب.
ولكن في الواقع ، فإن القائمة عبارة عن ملف مضغوط يحتوي على DLL ضار (“lastBld2base.dll”) الذي يضع الأساس لمرحلة الهجوم التالية ، مما يؤدي إلى تنفيذ SHELDCODE المسؤول عن تنزيل وحدة WINOS 4.0 من خادم بعيد (“206.238.221[.]60 “) لجمع البيانات الحساسة.
المكون ، الموصوف كوحدة تسجيل دخول ، قادر على أخذ لقطات شاشة ، وتسجيل ضغطات المفاتيح ، وتغيير محتوى الحافظة ، ومراقبة أجهزة USB المتصلة ، وتشغيل رمز الصدفة ، والسماح بتنفيذ الإجراءات الحساسة (على سبيل المثال ، cmd.exe) عندما يتم عرض مطالبات الأمان من أمان Kingsoft و Huorong.
وقالت Fortinet إنها لاحظت أيضًا سلسلة هجوم ثانية تقوم بتنزيل الوحدة النمطية عبر الإنترنت يمكن أن تلتقط لقطات من WeChat والبنوك عبر الإنترنت.
تجدر الإشارة إلى أن مجموعة التسلل تم توزيع البرامج الضارة WinOS 4.0 ، فراش آراخين و Silver Fox ، مع تداخل البرامج الضارة أيضًا مع Trojan Access Access آخر تم تعقبها كـ Valleyrat.
وقال دانييل دوس سانتوس ، رئيس أبحاث الأمن في فيديري لابز في فورسكوت ، لصحيفة هاكر نيوز: “كلاهما مشتق من نفس المصدر: GH0st Rat ، الذي تم تطويره في الصين ومصادر مفتوحة في عام 2008”.
“إن Winos و Valleyrat هما اختلافات من الفئران GH0st التي تعزى إلى Silver Fox من قبل باحثين مختلفين في نقاط مختلفة في الوقت المناسب. كان Winos اسمًا شائعًا في عامي 2023 و 2024 بينما يتم استخدام الوادي الآن بشكل أكثر شيوعًا. الأداة تتطور باستمرار ، ولها كل من قواعد طروادة/الفئران المحلية بالإضافة إلى خادم قيادة.”
الوادي، تم تحديده لأول مرة في أوائل عام 2023 ، وقد لوحظ مؤخرًا باستخدام مواقع الكروم المزيفة كقناة لإصابة المستخدمين الناطقين بالصينية. كما تم استخدام مخططات تنزيل مماثلة من خلال تسليم الفئران GH0st.
علاوة على ذلك ، قامت سلاسل الهجوم WinOS 4.0 بدمج ما يسمى بمثبت Cleversoar الذي يتم تنفيذه عن طريق حزمة تثبيت MSI موزعة كبرنامج مزيف أو تطبيقات متعلقة بالألعاب. كما تم إسقاطه إلى جانب WinOS 4.0 عبر Cleversoar هو المصدر المفتوح nidhogg Rootkit.
“مثبت Cleversoar […] يتحقق من إعدادات لغة المستخدم للتحقق مما إذا تم ضبطها على الصينية أو الفيتنامية “، Rapid7 ذُكر في أواخر نوفمبر 2024. “إذا لم يتم التعرف على اللغة ، فإن المثبت ينتهي ، ويمنع بشكل فعال العدوى. يشير هذا السلوك بقوة إلى أن ممثل التهديد يستهدف الضحايا في هذه المناطق بشكل أساسي.”
يأتي الإفصاح في الوقت الذي تم فيه ربط Silver Fox APT بحملة جديدة تعزز إصدارات طروادة من مشاهدي Philips DICOM لنشر الوادي ، والتي تستخدم بعد ذلك لإسقاط Keylogger ، وعمل عملة مشفرة على أجهزة الكمبيوتر الضحية. والجدير بالذكر أنه تم العثور على الهجمات لاستخدام نسخة ضعيفة من برنامج تشغيل Truesight لتعطيل برنامج مكافحة الفيروسات.
“هذه الحملة تستفيد من مشاهدي DICOM من طروادة طرولة كإغراء لإصابة أنظمة الضحايا مع Backdoor (Valleyrat) للوصول والتحكم عن بعد ، ومفتاح لالتقاط نشاط المستخدم وبيانات الاعتماد ، ومينر تشفير لاستغلال موارد النظام لتحقيق مكاسب مالية” قال.
إرسال التعليق