Целевые фишинговые кампании в Тайване используют фиктивные налоговые уведомления для распространения усовершенствованного вредоносного ПО Winos 4.0 (ValleyRat)

Эксперты FortiGuard Labs зафиксировали серию высокоцелевых фишинговых кампаний на Тайване, в которых злоумышленники используют темы, эксплуатирующие местные бизнес-процессы. В ходе атак распространяются вредоносная программа Winos 4.0, также известная как ValleyRat, и дополнительные модули. Приманки имитируют официальные коммуникации, такие как уведомления о налоговых проверках, установщики программ для подачи налоговых деклараций и ссылки для скачивания электронных счетов-фактур из облачных сервисов. Эти кампании демонстрируют эволюцию тактик группы продвинутой постоянной угрозы (APT), известной как Silver Fox, и подчеркивают недостаточность традиционных методов защиты, основанных на статических блокировках доменов.

Описание

Динамичная инфраструктура и многоступенчатые атаки

Анализ данных о регистрации доменов показал, что злоумышленники используют постоянно обновляемый набор доменов и облачных сервисов для размещения и распространения вредоносного кода. Высокая волатильность такой инфраструктуры делает традиционные методы защиты, такие как блокировка доменов по статическим спискам, неэффективными в качестве основной линии обороны. За последние два месяца исследователи выявили несколько техник доставки. В первой кампании атака начиналась с RAR-архива, содержащего безобидный документ-приманку и вредоносный файл ярлыка (LNK). Этот LNK-файл, используя относительный путь, запускал системный командный процессор "cmd.exe" для выполнения серии замаскированных команд. Сценарий создавал рабочую директорию, копировал легитимную системную утилиту "curl.exe" под новым именем, чтобы обойти простое мониторинговое ПО, и использовал её для загрузки исполняемого файла с удалённого домена. Процесс также включал запуск системного файла "DeviceCredentialDeployment.exe" для маскировки под обычную активность.

Во второй кампании злоумышленники рассылали поддельные документы Министерства финансов. Ссылки в письмах вели на домены, имитирующие официальные тайваньские ресурсы, но на самом деле перенаправляли жертв на облачные хранилища в Китае для скачивания вредоносных архивов. В отличие от первой волны, в этих архивах не использовались LNK-файлы. Вместо этого атакующие применяли технику подмены динамических библиотек (DLL sideloading), загружая вредоносный код через легитимное приложение. Этот метод, наряду с использованием той же техники загрузки драйвера и тем же адресом командного сервера (C2), указывает на общее происхождение кампаний.

Сложный механизм внедрения и уклонения Winos 4.0 (ValleyRat)

Конечная полезная нагрузка, Winos 4.0, демонстрирует высокий уровень изощренности. Перед выполнением основных функций она проверяет уровень привилегий. Если административные права отсутствуют, вредоносная программа использует технику обхода контроля учётных записей (UAC) через отладку, сочетающую вызовы службы RPC AppInfo с перехватом объектов отладки. Это позволяет повысить привилегии до уровня администратора без вызова стандартного запроса UAC, используя легитимный системный бинарный файл "computerdefaults.exe".

Ключевым элементом атаки является использование уязвимого драйвера "wsftprm.sys" в рамках техники BYOVD (Bring Your Own Vulnerable Driver - использование собственного уязвимого драйвера). Вредоносная программа динамически получает доступ к Native API из "ntdll.dll" для загрузки этого подписанного драйвера режима ядра, что позволяет обойти стандартный мониторинг служб. Получив привилегии ядра, ValleyRat входит в цикл мониторинга, в котором сверяет активные процессы с жёстко закодированным списком продуктов безопасности. Список целей обширен и включает процессы таких решений, как Microsoft Defender, Trend Micro, Symantec, а также популярных в регионе продуктов, например, от HuoRong и 360. Завершение этих процессов создаёт «чистую» среду для дальнейшей работы вредоносной программы.

Скрытность и функциональность

После нейтрализации средств защиты Winos 4.0 устанавливает соединение с командным сервером, адрес которого скрыт с помощью кодировки Base64. Вредоносная программа загружает основные модули, такие как «модуль выхода в сеть» и «модуль входа», а также дополнительные плагины для управления файлами, захвата экрана, удалённого управления и администрирования системы. Важной особенностью является то, что эти модули хранятся непосредственно в реестре Windows и загружаются в память, не оставляя физических файлов на диске, что значительно затрудняет их обнаруствие традиционными антивирусными средствами.

Расследование и атрибуция

Исследователи обнаружили чёткие связи между кампаниями. Анализ данных регистрации доменов выявил повторяющееся имя регистранта и связанный с ним email-адрес, который также фигурировал в текстовом файле из первой кампании. Кроме того, метаданные LNK-файла содержали идентификатор машины "desktop-t3n3m3q". Этот конкретный идентификатор ранее наблюдался в активности группы Silver Fox в августе 2025 года, что с высокой долей вероятности указывает на системы, используемые разработчиками вредоносного ПО. Идентичные техники злоупотребления драйверами и перекрывающаяся инфраструктура позволяют с высокой уверенностью утверждать, что эти кампании являются работой одной и той же специализированной подгруппы внутри Silver Fox. Об этом же свидетельствует обнаруженное в коде название внутреннего проекта - «大馬專案» (Проект «Большая лошадь»).

Выводы и рекомендации

Группа Silver Fox демонстрирует постоянную эволюцию, целенаправленно атакуя организации в Азии. Их методы включают фишинговые приманки с локализованным контентом, регистрацию доменов, имитирующих официальные ресурсы, и применение сложных техник для уклонения от обнаружения, таких как выполнение кода только в памяти. Организациям, особенно ведущим деятельность в Азиатско-Тихоокеанском регионе, необходимо повышать бдительность. Ключевые меры защиты включают регулярное обучение сотрудников распознаванию фишинга, внедрение решений для анализа поведения (EDR) для обнаружения аномальных действий, применение принципа наименьших привилегий и строгий контроль за установкой и загрузкой драйверов. Любые документы или ссылки, полученные из ненадёжных источников, особенно связанные с налоговой или финансовой тематикой, должны проверяться с особой тщательностью.