13/10/25
Эксперты «Гарда» нашли новые инструменты вредоносного ПО Winos 4.0*, которые, предположительно, применяет группировка SilverFox. Злоумышленники используют методы другой группы: связь с командным сервером устанавливается по протоколу, который исследователи раньше наблюдали у группировки APT41 (Winnti). Киберпреступники усложняют поведение ПО в зараженной сети и на атакованных компьютерах, чтобы избежать обнаружения по сигнатурам.
Winos 4.0 ‒ мощный инструмент для шпионажа, удаленного контроля и атак на пользователей. Это вредоносное ПО (ВПО) распространяется через целевые фишинговые рассылки: поддельные счета, письма от скомпрометированных отправителей и QR-коды, ведущие на фишинговые ресурсы. Атакующие используют привычные приемы социальной инженерии ‒ маскировку отправителя, подмену ссылок и типов файлов, архивацию вложений и имитацию доверенных брендов.
Элементы кампании (активация адаптеров с китайскими именами, упоминание UI на китайском и QR-атаки) указывают на расположение целей атак в азиатском регионе.
Первичный модуль атаки ‒ WinRAR SFX. Полезная нагрузка (payload) вредоносного ПО содержится в самораспаковывающемся RAR-архиве (WinRAR SFX), который выступает дроппером (dropper ‒ вредоносная программа для доставки и развертывания следующего атакующего модуля). Закрепление в системе
производится через планировщик задач. Каждый раз, когда пользователь осуществляет вход (AtLogOn), планировщик задачи выполняет скрипт, который запускает полезную нагрузку дроппера. Функция полезной нагрузки ‒ обратится на командный сервер злоумышленников (C&C) с основным модулем и с помощью шелл-кода (shellcode, фрагмента машинного кода) скачать, расшифровать и передать управление основному модулю ВПО.
В последующем цепочка активации вредоносного ПО повторяется и выглядит следующим образом:
- Пользователь осуществляет вход в систему;
- Планировщик активирует задание по триггеру (AtLogOn);
- Запускается полезная нагрузка, загружается основной модуль;
- Регистрация жертвы на C&C, получение дополнительных настроек и адреса резервного сервера;
- Получение команд злоумышленников, дальнейшее развитие атаки.
Трафик между вредоносными программами и сервером хакеров маскируется модификацией нестандартного протокола поверх TCP с шифрованием сообщений, что затрудняет его анализ и блокировку. Наряду с этим, впервые в Winos 4.0, для связи с командным центром выявлен протокол KCP (протокол с высокой скоростью передачи и меньшей задержкой) поверх UDP. Исследователи находили протокол KCP у бэкдоров Crosswalk группировки APT41 (Winnti) еще с 2020 года, но в инструменте
Winos 4.0 видят его впервые.
Кроме того, чтобы скрыть исполнение вредоносного ПО в атакованной системе, используется загрузка кода прямо в память процесса, без сохранения библиотеки на диске. Также применяются техники сокрытия (обфускация) строк кода и импортов.
Совокупность методов и инструментов позволяет предположить, что атакующие относятся к APT-группировке SilverFox.
«Новая атака Winos 4.0 демонстрирует продуманную многоступенчатую схему: социальная инженерия для входа, упаковка и этапный дроппинг, укрепление присутствия через скрипты и задания, а также попытки скрыть свое поведение в атакуемой сети и процессах. Злоумышленники постоянно модифицируют свой не публичный инструментарий удаленного доступа для скрытного нахождения в инфраструктуре, такие действия представляют реальную угрозу корпоративному сектору», ‒ комментирует Евгения Устинова, старший аналитик сетевой безопасности группы компаний «Гарда».
«Гарда NDR» успешно детектирует эту угрозу.
