Winos 4.0恶意软件使用武器化PDF伪装政府部门感染Windows计算机

安全研究人员正在追踪一个使用武器化PDF文件分发Winos 4.0恶意软件的高危恶意软件活动。威胁行为者冒充政府部门，诱骗用户打开感染Microsoft Windows计算机的恶意文档。

该活动最早于2025年初被发现，此后其操作范围已从台湾扩展到日本和马来西亚，并不断改进其策略以逃避检测。

钓鱼诱饵和地理扩张

攻击从包含PDF的钓鱼电子邮件开始，这些PDF看似来自财政部等政府机构的官方文件。这些PDF嵌入了恶意链接，点击后会启动恶意软件下载。最初，威胁行为者使用腾讯云存储托管有效负载，但后来转向使用自定义域名。

FortiGuard Labs的研究人员通过分析云存储URL中的唯一ID，能够将各种攻击联系起来，揭示同一威胁行为者在不同地区背后策划的活动。

例如，一个针对台湾用户的PDF将受害者重定向到日语页面以下载恶意软件有效负载，将两国的攻击联系起来。

• PDF模仿政府文件以获取可信度并诱使受害者配合
• 恶意链接通常伪装成嵌入资源，使收件人更难检测
• 研究人员追踪链接和ID以揭示这些活动背后的基础设施
• 攻击者重新调整基础设施和策略以适应不同地区和语言

复杂规避技术

威胁行为者不断改进方法以避免安全软件和分析。在最近的攻击中，该活动已从Winos 4.0转向名为HoldingHands的新恶意软件家族。

该恶意软件通过复杂的多阶段感染过程交付，使用看似合法的可执行文件和DLL侧加载来绕过防御。该恶意软件最新变种最重要的变化之一是使用Windows任务计划程序执行其组件。

通过终止然后允许任务计划程序服务重新启动，恶意软件可以间接启动其进程，使其行为通过传统监控更难检测。这种隐蔽的触发机制允许有效负载以提升的权限运行，同时留下更少的取证痕迹。

• HoldingHands取代Winos 4.0作为主要有效负载，通过注册表更新添加基础设施转移
• 多阶段执行流程涉及DLL侧加载和间接进程触发
• 使用Windows任务计划程序严重复杂化了基于行为的检测，因为任务可以隐藏并自动重新启动
• 恶意软件进行防病毒产品检查，仅在缺少保护时执行，增加感染成功率

持久且不断演变的威胁

HoldingHands有效负载本身设计用于信息窃取，可用于促进未来攻击。它能够检查是否存在诺顿、Avast和卡巴斯基等防病毒产品，如果发现某些安全进程，将自行终止。

通过连接共享基础设施、代码模式和操作策略，研究人员能够将看似孤立的事件联系到一个跨越多个国家的协调活动中。

该组织改进其恶意软件和交付机制的能力突显了对亚洲组织的持久且适应性强的威胁。被盗信息构成重大风险，因为它可用于更有针对性和破坏性的网络攻击。

危害指标(IoCs)