ハッカーは、危険なWinos4.0フレームワークを利用して、Windowsユーザーをターゲットにした攻撃を強化しています。このフレームワークは、SliverやCobalt Strikeのような既知の後処理用フレームワークに似た動作をします。今年の初めに、Trend Microが中国語を使用するユーザーを標的にした攻撃に関する報告書でこのツールキットを最初に文書化しました。最近、Fortinetのレポートによると、攻撃者は、ゲームアプリや関連ファイルを悪用して、この悪意のあるツールキットを配布する新たな手法を採用していることが明らかになりました。
攻撃の進化:ゲームアプリを使用した配布方法
Fortinetの最新レポートによると、この悪質なフレームワークは進化を遂げており、以前は中国市場向けにカスタマイズされたVPNやブラウザソフトウェアを利用していた攻撃者が、現在ではゲーム関連ファイルを利用してWinos4.0ツールキットを配布しています。無害に見えるゲームインストーラーをユーザーがダウンロードして実行すると、知らず知らずのうちにDLLファイルを「ad59t82g[.]com」からダウンロードし、多段階の感染プロセスが始まります。
多段階の感染プロセス
感染プロセスは4段階で進行します:
- 第一段階: 初期のDLLファイル(you.dll)は、追加ファイルをダウンロードし、実行環境を設定し、Windowsレジストリにエントリを追加して持続性を確保します。
- 第二段階: 悪意のあるシェルコードがAPIを読み込み、設定データを取得し、コマンド&コントロール(C2)サーバーへの接続を確立します。
- 第三段階: さらに別のDLL(上线模块.dll)がC2サーバーからエンコードされたデータを取得し、それをレジストリに保存し、C2サーバーのアドレスを更新します。
- 最終段階: ログインモジュール(登录模块.dll)が読み込まれ、主要な悪意のあるアクションを実行します。これには次のものが含まれます:
- システムおよび環境情報(IPアドレス、OSの詳細、CPU情報など)を収集。
- インストールされているアンチウイルスや監視ソフトウェアの存在を確認。
- 犯人が特定の仮想通貨ウォレット拡張機能を収集。
- C2サーバーとの持続的なバックドア接続を維持し、攻撃者がコマンドを発行し、追加データを取得できるようにします。
- スクリーンショットを撮影したり、クリップボードの変化を監視したり、ドキュメントを盗んだりしてデータを外部へ流出させます。
Winos4.0がセキュリティソフトを回避する仕組み
Winos4.0は、感染したシステム上のセキュリティツールをチェックする機能を持っており、監視ソフトやアンチウイルスソフトが検出されると、動作を調整したり、実行を停止したりすることができます。特に、Kaspersky、Avast、Avira、Bitdefender、McAfeeなど、広く使用されているアンチウイルスソフトをターゲットにしています。
Winos4.0の悪質な使用の拡大
Winos4.0はここ数ヶ月にわたって使用されており、その役割が悪意のある作業で確立されていることが示唆されています。Trend MicroとFortinetは、このフレームワークがCobalt StrikeやSliverのような機能を提供し、攻撃者がリモートで侵害されたシステムを操作できる強力なツールであると警告しています。
追加リソース:侵害指標(IoCs)
サイバーセキュリティの専門家向けに、FortinetとTrend Microは以下のリソースを提供しています:
