Pojavila se sofisticirana kampanja prijetnji usmjerena na Windows sisteme, koristeći novi soj malicioznog softvera poznatog kao winos 4.0 za kompromitovanje organizacija širom Tajvana.
Napad, koji je aktivan od januara 2025. godine, demonstrira razvoj taktika sajber kriminalaca koji koriste tehnike socijalnog inženjeringa u kombinaciji s naprednim strategijama implementacije malicioznog softvera kako bi infiltrirali korporativne mreže.
Hakeri koji stoje iza ove kampanje pokazali su izuzetnu upornost i sofisticiranost u svom pristupu, koristeći phishing e-poruke koje se maskiraju kao službena komunikacija Nacionalnog poreznog biroa Tajvana.
Ove obmanjujuće poruke sadrže maliciozne priloge osmišljene da prevare primaoce da preuzmu i pokrenu maliciozni softver winos 4.0, koji potom uspostavlja uporište u sistemu žrtve za daljnju eksploataciju.
Analitičari Fortineta su primijetili da se kampanja značajno proširila od svog početnog otkrivanja, a istraživači su identifikovali više vektora napada i varijacija korisnog tereta tokom 2025. godine.
Maliciozni softver demonstrira napredne mogućnosti, uključujući eskalaciju privilegija , mehanizme perzistencije i komunikaciju sa serverima za komandovanje i kontrolu kako bi primao dodatne instrukcije i module.
.webp)
Lanac napada počinje pažljivo kreiranim phishing e-porukama koje izgledaju kao da potiču od legitimnih vladinih agencija ili poslovnih partnera.
Ove poruke se obično fokusiraju na hitne teme kao što su poreska obavještenja, ažuriranja o penzijama ili obrada faktura kako bi se stvorio osjećaj neposrednosti koji prisiljava primaoce na interakciju sa zlonamjernim sadržajem.
E-poruke često sadrže PDF priloge ili HTML datoteke koje preusmjeravaju korisnike na stranice za preuzimanje koje sadrže winos 4.0 paket u ZIP datotekama zaštićenim lozinkom.
.webp)
Uticaj ove kampanje proteže se dalje od samog ugrožavanja pojedinačnih sistema, jer je maliciozni softver dizajniran za prikupljanje osjetljivih informacija koje se mogu iskoristiti za buduće napade.
Organizacije pogođene Winosom 4.0 suočavaju se s rizicima koji uključuju krađu podataka, neovlašteni pristup sistemu i potencijalno lateralno kretanje unutar njihovih mreža jer napadači uspostavljaju trajne pristupne tačke za kontinuirani nadzor i iskorištavanje.
Napredni mehanizmi upornosti i izbjegavanja
Maliciozni softver winos 4.0 demonstrira sofisticirane taktike istrajnosti koje mu omogućavaju dugoročni pristup kompromitovanim sistemima, izbjegavajući otkrivanje od strane sigurnosnog softvera.
Nakon izvršenja, maliciozni softver obavlja nekoliko ključnih operacija kako bi uspostavio svoje prisustvo u ciljanom okruženju.
Početni korisni teret, distribuisan putem komponente dokan2.dll, kreira namjensku nit odgovornu za dešifrovanje i izvršavanje shellcode-a sadržanog u datoteci dxpi.txt.
Prije nego što nastavi sa svojim malicioznim aktivnostima, maliciozni softver koristi funkciju ShowWindow kako bi sakrio interfejs prozora izvršne datoteke, smanjujući vjerovatnoću otkrivanja od strane korisnika tokom procesa bočnog učitavanja.
Posebno značajan aspekt strategije perzistentnosti maliciozni softvera uključuje manipulaciju sistemskim DLL datotekama. Prijetnja traži određene datoteke, uključujući kernel32.dll i DwhsOqnbdrr.dll, analizirajući dužine naziva datoteka izdvojenog sadržaja ZIP datoteke.
Naziv datoteke „DwhsOqnbdrr“ predstavlja kodiranu referencu na funkciju ExitProcess, gdje se svako slovo pomiče unazad za jednu poziciju u abecedi kako bi se prikrila njegova prava svrha.
Zlonamjerni softver uspostavlja perzistentnost u registru kreiranjem markera infekcije u ključu registra SOFTWARE\MsUpTas sa vrijednošću stanja postavljenom na 1.
Osim toga, prebacuje više datoteka u direktorij C:\Program Files (x86)\WindowsPowerShell\Update, uključujući TaskServer.exe, code.bin, msgDb.dat i nekoliko DLL komponenti koje rade zajedno kako bi održale pristup sistemu.
Da bi se postigli najviši nivoi privilegija, winos 4.0 implementira višestepeni proces eskalacije privilegija.
Maliciozni softver prvo omogućava SeDebugPrivilege funkciji da zaobiđe ograničenja pristupa WinLogon-a, zatim koristi funkciju ImpersonateLoggedOnUser da preuzme SYSTEM privilegije, i na kraju se predstavlja kao nit servisa TrustedInstaller kako bi dobio maksimalnu kontrolu nad sistemom.
Izvor: CyberSecurityNews
