Hackers increasingly use Winos4.0 post-exploitation kit in attacks

ハッカーは、一見良さそうに見えるゲーム関連アプリを通じて配布される悪意のあるWinos4.0フレームワークで、Windowsユーザーを標的にすることが増えている。

このツールキットは、SliverやCobalt Strikeのポストエクスプロイトフレームワークに相当するもので、トレンドマイクロが今夏、中国のユーザーを狙った攻撃に関するレポートで文書化しています。

当時、Void Arachne/Silver Foxとして追跡されていた脅威行為者は、悪意のあるコンポーネントをバンドルした、中国市場向けに修正されたさまざまなソフトウェア(VPN、Google Chromeブラウザ)のオファーで被害者を誘い出しました。

サイバーセキュリティ企業のフォーティネットが本日発表した報告書によると、ハッカーは現在、中国ユーザーを継続的に標的としてゲームやゲーム関連ファイルを利用しており、この活動が進化していることが示されています。

Malicious files infecting users with Winos4.0
Winos4.0 でユーザーを感染させる悪質なファイル
ソースはこちら:フォーティネット

一見正規のインストーラーが実行されると、「ad59t82g[.]com」からDLLファイルがダウンロードされ、多段階の感染プロセスが開始されます。

第1段階では、DLLファイル(you.dll)が追加ファイルをダウンロードし、実行環境を設定し、Windowsレジストリにエントリを追加することで永続性を確立します。

第2段階では、注入されたシェルコードがAPIをロードし、設定データを取得し、コマンド&コントロール(C2)サーバーへの接続を確立します。

第3段階では、別のDLL(上线模块.dll)がC2サーバーから余分な符号化データを取得し、レジストリの「HKEY_CURRENT_USERConsole」に格納し、C2アドレスを更新する。

Malware modules added onto the Registry
レジストリに追加されたマルウェアモジュール
Source:フォーティネット

攻撃チェーンの最終段階では、ログインモジュール(登录模块.dll)がロードされ、主な悪意のあるアクションを実行します:

  • システムと環境の情報(IP アドレス、OS の詳細、CPU など)を収集します。
  • ホスト上で実行されているアンチウイルス・ソフトウェアと監視ソフトウェアをチェックする。
  • 被害者が使用している特定の暗号通貨ウォレット拡張機能のデータを収集します。
  • C2サーバーへの持続的なバックドア接続を維持し、攻撃者がコマンドを発行して追加データを取得できるようにする。
  • スクリーンショットの撮影、クリップボードの変更の監視、ドキュメントの窃取を行い、データを流出させる。
Complete Winos4.0 attack chain
完全なWinos4.0攻撃チェーン
Source:フォーティネット

Winos4.0は、Kaspersky、Avast、Avira、Symantec、Bitdefender、Dr.Web、Malwarebytes、McAfee、AhnLab、ESET、Panda Security、現在は廃止されているMicrosoft Security Essentialsなど、システム上のさまざまなセキュリティツールをチェックします。

これらのプロセスを特定することで、マルウェアは監視された環境で実行されているかどうかを判断し、それに応じて動作を調整したり、実行を停止したりする。

ハッカーは数ヶ月前からWinos4.0フレームワークを使い続けており、新たなキャンペーンが出現していることは、悪意のある操作におけるWinos4.0の役割が確固たるものになっていることを示している。

フォーティネットは、このフレームワークについて、Cobalt StrikeやSliverと同様の機能を持ち、侵害されたシステムを制御するために使用できる強力なものであると説明しています。フォーティネットと トレンドマイクロのレポートでは、侵害の指標(IoC)を公開しています。