概述

Rapid7安全研究团队最近发现了一个复杂的恶意软件传播活动,攻击者通过伪装成热门软件(如VPN客户端、QQ浏览器等)的安装包来分发Winos v4.0恶意软件。这种恶意软件完全在内存中运行,极难被传统杀毒软件检测到,一旦感染可为攻击者提供远程访问权限。

该活动最早在2025年2月的一次MDR调查中被发现,研究团队将这种多层次的感染链命名为Catena加载器。Catena利用嵌入式shellcode和配置切换逻辑,完全在内存中部署有效载荷,成功规避了传统防病毒工具的检测。

攻击特点

1. 高度隐蔽性

  • 恶意软件完全在内存中运行,不在磁盘留下明显痕迹

  • 使用反射式DLL注入技术,绕过传统检测机制

  • 伪装成合法软件,包含有效的数字证书

2. 多阶段感染链

攻击流程分为多个阶段:

  1. 初始感染:用户下载并执行伪装的安装包

  2. 载荷投递:通过NSIS脚本部署多个恶意组件

  3. 持久化:建立定时任务和进程监控机制

  4. 远程控制:连接C&C服务器接收进一步指令

3. 地域针对性

恶意软件包含中文语言检查功能,主要针对中文环境用户,显示出明确的地域针对性。

技术分析

QQ浏览器变种(2025年2月)

最初发现的样本伪装成QQ浏览器安装包QQBrowser_Setup_x64.exe,执行后会在%APPDATA%目录下创建Axialis文件夹并投递多个文件:

  • Axialis.vbs - VBScript启动器

  • Axialis.ps1 - PowerShell加载器

  • Axialis.dll - 恶意DLL

  • Config.iniConfig2.ini - 包含shellcode的配置文件

恶意软件通过互斥体VJANCAVESU来决定加载哪个配置文件,展现出复杂的条件执行逻辑。

LetsVPN变种(2025年4月)

快连 vpn 感染流程

随着时间推移,攻击者调整了策略,开始使用regsvr32.exe直接调用DLL,避免使用PowerShell脚本。新变种Lets.15.0.exe伪装成LetsVPN安装包,展现出更强的反检测能力。

关键技术细节:

1. 防御规避

  • 自动添加Windows Defender排除项

  • 检测并尝试对抗360安全软件

  • 使用过期但看似合法的数字证书

2. 持久化机制

  • 创建定时任务在用户登录时重新执行

  • 部署进程监控脚本,确保恶意软件持续运行

  • 多重冗余机制保证长期驻留

3. 条件执行

  • 检测特定应用程序(Telegram、WhatsApp)来切换有效载荷

  • 基于系统状态动态选择执行路径

  • 支持远程终止功能

基础设施分析

研究发现,攻击者使用了分布式的C&C基础设施,主要托管在香港:

共享基础设施

多个IP地址共享相同的Winos v4.0载荷

通过Shodan扫描发现8个IP地址分发相同的恶意载荷,表明这是一个协调统一的攻击基础设施:

  • 134.122.204[.]11

  • 103.46.185[.]44

  • 112.213.101[.]161

  • 等其它节点

Winos v4.0最终载荷

最终部署的Winos v4.0包含以下配置:

配置项

数据

描述

p1-p3

134.122.204[.]11

C&C服务器地址

o1-o3

6074-6076

通信端口

fz

认默 (default)

分组标识

bb

1.0

版本号

bz

2025.4.24

生成日期

该恶意软件与Silver Fox APT组织存在关联,该组织以通过木马化工具和漏洞利用分发ValleyRAT等恶意软件而闻名。

防护建议

个人用户:

  1. 谨慎下载软件:仅从官方渠道下载应用程序

  2. 验证数字签名:检查软件的数字证书有效性

  3. 保持更新:及时更新操作系统和安全软件

  4. 提高警惕:对要求添加杀毒软件排除项的程序保持怀疑

企业用户:

  1. 部署EDR解决方案:监控内存中的恶意活动

  2. 网络监控:监控异常的网络连接和数据传输

  3. 员工培训:提高员工对社会工程学攻击的认识

  4. 应急响应:建立完善的安全事件响应机制

威胁指标(IOCs)

文件哈希:

  • Lets.15.0.exe: 1E57AC6AD9A20CFAB1FE8EDD03107E7B63AB45CA555BA6CE68F143568884B003

  • insttect.exe: 4FDEDADAA57412E242DC205FABDCA028F6402962D3A8AF427A01DD38B40D4512

  • intel.dll: B8E8A13859ED42E6E708346C555A094FDC3FBD69C3C1CB9EFB43C08C86FE32D0

网络指标:

  • 156.251.17.243:18852

  • 134.122.204.11:18852

  • 103.46.185.44:443

结论

Catena恶意软件活动展现了现代APT组织的高超技术能力和持续进化的攻击手法。通过多层混淆、内存执行和地域针对性,攻击者成功构建了一个难以检测的恶意软件分发网络。

随着网络威胁的不断演进,个人和企业用户都需要采取更加全面的安全防护策略。仅依赖传统的基于签名的防病毒软件已经不够,需要结合行为分析、内存保护和威胁情报等多种技术手段来应对这类高级威胁。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。