Злоумышленники, связанные с китайской группировкой Silver Fox, активизировали кампанию Winos 4.0, распространяя вредоносное ПО через фишинговые письма с поддельным уведомлением о пересмотре зарплат. Образец под названием «給与制度改定のお知らせ.exe» (в переводе с японского - «Уведомление о пересмотре системы оплаты труда») использует украденный цифровой сертификат компании Sid Narayanan Ltd, что позволяет ему избегать обнаружения антивирусами.
Описание
Анализ показал, что вредоносная программа представляет собой многоступенчатый бэкдор, который проверяет наличие административных прав, создает скрытые директории и распаковывает дополнительные модули с помощью COM-объектов. Для обфускации кода применяется XOR-шифрование с фиксированным ключом, а выполнение полезной нагрузки происходит непосредственно в памяти через вызовы VirtualAlloc, что затрудняет анализ.
Особенностью кампании является использование конфигурационных файлов для динамического импорта API-функций, а также попытки обхода UAC через ShellExecuteEx с параметром "runas". После успешного запуска бэкдор устанавливает соединение с C2-сервером, отправляя регулярные "heartbeat"-пакеты для поддержания связи.
Эксперты связывают эту атаку с китайской APT-группой Silver Fox, известной своими шпионскими операциями в Азиатско-Тихоокеанском регионе. Ранее Winos 4.0 использовался в атаках на Тайвань, а теперь злоумышленники расширили географию, включив в список целей Японию. Анализ PDB-путей и совпадений в коде указывает на использование одного и того же инструментария в разных кампаниях.
Для защиты от подобных угроз рекомендуется проверять цифровые подписи исполняемых файлов, блокировать подозрительные IP-адреса и применять решения для мониторинга аномального поведения процессов в памяти.
Индикаторы компрометации
IPv4
- 107.149.253.183
- 154.205.139.223
- 206.238.221.244
- 38.54.107.103
- 38.54.50.212
URLs
- https://jppjp.vip/index.html
MD5
- 78dc343fe6f5d3140c9624c889148ec0
SHA256
- 0b6318af44ad2e434d7cfce95e8eeba2357c226355478a6cfdfbe464d9e5e467