Winos 4.0黑客扩展至日本和马来西亚使用新型恶意软件

Winos 4.0（ValleyRAT）背后的威胁行为者将其攻击范围从中国和台湾扩展至日本和马来西亚，使用伪装成财政部文件的PDF来传播恶意软件。

攻击者使用了另一个远程访问木马（RAT），被追踪为HoldingHands RAT（又名Gh0stBins）。该活动依赖带有PDF的网络钓鱼消息，这些PDF包含嵌入的恶意链接。

“该活动依赖带有PDF的网络钓鱼电子邮件，这些文件包含嵌入的恶意链接。”Fortinet发布的报告称，“这些文件伪装成财政部的官方文件，除了传递Winos 4.0的链接外，还包含众多链接。”

大多数恶意链接指向腾讯云，其独特的账户ID允许分析师将多个网络钓鱼文件追踪到同一威胁操作者。攻击者从使用云存储链接演变为使用包含“tw”的自定义域名，表明针对台湾目标。一个伪装成台湾税收法规草案的PDF将用户重定向到一个日语网站，该网站传递HoldingHands有效载荷，通过共享的C2 IP（156.251.17[.]9）和调试路径“BackDoor.pdb”将两个活动联系起来。

攻击者对EXE文件进行数字签名以绕过检测。额外的Word和HTML网络钓鱼诱饵重复使用相同的恶意脚本在动态页面上托管有效载荷，将下载链接隐藏在JSON数据中以复杂化检测。对腾讯云APPID的进一步分析暴露了针对中国的更广泛网络钓鱼基础设施，可追溯至2024年3月，也通过Excel附件分发Winos 4.0。

Fortinet研究人员通过发现使用解析到相同IP的twczb[.]com，将最近的马来西亚攻击与早期的台湾活动联系起来。该活动使用简单的网络钓鱼页面通过多阶段流程传递HoldingHands；与早期变体丢弃EXE文件并留下工件不同，后期阶段通过Windows任务计划程序触发，复杂化了基于行为的检测。攻击链从恶意的dokan2.dll（一个名为Dokany的shellcode加载器）和sw.dat开始，后者执行反虚拟机检查、权限提升，并将组件（svchost.ini、TimeBrokerClient.dll、msvchost.dat、system.dat）放入C:\Windows\System32。安装程序枚举Norton、Avast和Kaspersky的进程，并在找到它们时丢弃或中止。行动者杀死任务计划程序，以便其重新启动加载svchost，然后加载TimeBrokerClient.dll。

DLL首先通过简单的ASCII和检查进程名称，然后读取svchost.ini以找到VirtualAlloc的地址。该库将msvchost.dat解密为shellcode并在内存中运行该代码。然后，shellcode解密system.dat以获取HoldingHands有效载荷，并确认它正在托管任务计划程序的svchost实例中运行。接下来，它列出活动用户会话并复制登录用户的令牌。使用该令牌，它启动taskhostw.exe并将有效载荷注入其中。最后，它监视进程并在进程停止时重新注入有效载荷。

HoldingHands恶意软件似乎是相同的，但攻击者添加了一个C2任务，通过将其写入注册表来更新服务器IP。配置键保持为HKEY_CURRENT_USER\SOFTWARE\HHClient，值AdrrStrChar保存IP。新的IP更新命令是0x15，而终止命令更改为0x17（之前为0x15）。

“威胁行为者继续依赖网络钓鱼诱饵和分层规避来传递恶意软件，同时掩盖其活动。然而，这些相同的策略提供了连接跨境活动的宝贵线索。”报告总结道。“通过跟踪基础设施、代码重用和行为模式，FortiGuard Labs连接了跨越中国、台湾、日本和现在马来西亚的攻击，并在此过程中识别了最新的HoldingHands变体。”