كشف باحثون في الأمن السيبراني عن حملة خبيثة تستخدم مثبتات برمجيات مزيفة تتخفى في صورة أدوات شهيرة مثل LetsVPN وQQ Browser لنشر إطار عمل Winos 4.0.
تم اكتشاف هذه الحملة لأول مرة بواسطة Rapid7 في فبراير 2025، وتتضمن استخدام محمِّل متعدد المراحل يسمى Catena، والذي يعمل في الذاكرة دون ترك أثر على القرص.
وأوضح الباحثان الأمنيان آنا شيروكوفا وإيفان فيغل أن “Catena يستخدم شفرات تنفيذ مضمنة ومنطق تبديل التكوين لتحميل حمولات مثل Winos 4.0 بالكامل في الذاكرة، مما يتجنب اكتشاف أدوات مكافحة الفيروسات التقليدية. وبعد التثبيت، يتصل بهدوء بخوادم يتحكم فيها المهاجمون – معظمها مستضاف في هونغ كونغ – لاستقبال تعليمات إضافية أو برمجيات خبيثة أخرى.”
تستهدف هذه الهجمات – مثل تلك التي نشرت Winos 4.0 سابقًا – بشكل خاص البيئات الناطقة بالصينية، حيث أشارت الشركة إلى “التخطيط الدقيق طويل المدى” من قبل جهة تهديد ذات كفاءة عالية.
ما هو Winos 4.0؟
تم توثيق Winos 4.0 (المعروف أيضًا باسم ValleyRAT) لأول مرة بواسطة Trend Micro في يونيو 2024، حيث استُخدم في هجمات تستهدف الناطقين بالصينية عبر ملفات Windows Installer (MSI) خبيثة لتطبيقات VPN. نُسبت هذه الأنشطة إلى مجموعة تهديدات تُعرف باسم Void Arachne (أو Silver Fox).
في حملات لاحقة، تم توزيع البرمجية الخبيثة عبر تطبيقات متعلقة بالألعاب مثل أدوات التثبيت ومسرعات الألعاب وبرامج التحسين. كما استهدفت موجة هجوم أخرى في فبراير 2025 كيانات في تايوان عبر رسائل تصيد احتيالي تدعي أنها صادرة من المصلحة الوطنية للضرائب.
كيف يعمل Winos 4.0؟
بُني Winos 4.0 على أساس برنامج Gh0st RAT، وهو إطار عمل خبيث متقدم مكتوب بلغة C++ يستخدم نظامًا قائمًا على الملحقات لجمع البيانات، وتوفير وصول عن بعد، وإطلاق هجمات حجب الخدمة الموزعة (DDoS).
سلسلة العدوى عبر متصفح QQ Browser
أشارت Rapid7 إلى أن جميع الأدوات المكتشفة في فبراير 2025 اعتمدت على مثبتات NSIS مزودة بتطبيقات طعم موقعة، وشفرات تنفيذ مضمنة في ملفات .ini، وحقن DLL عاكس للحفاظ على التواجد الخفي وتجنب الاكتشاف.
تبدأ العملية بمثبت NSIS مخادع يتظاهر بأنه مثبت لمتصفح QQ Browser (مطور من قبل Tencent)، مصمم لتسليم Winos 4.0 باستخدام Catena. تتصل البرمجية الخبيثة بخوادم C2 محددة مسبقًا عبر منفذ TCP 18856 وHTTPS 443.
تطور الهجوم: من LetsVPN إلى Winos 4.0
في أبريل 2025، لوحظ تحول تكتيكي في الحملة، حيث تمويه المثبت كملف إعداد لـ LetsVPN، مع تنفيذ أمر PowerShell لإضافة استثناءات في Microsoft Defender لجميع محركات الأقراص (من C:\ إلى Z:). ثم يقوم بإسقاط حمولات إضافية، بما في ذلك ملف تنفيذي يتحقق من وجود برامج مثل 360 Total Security.
يتم توقيع هذا الملف بشهادة منتهية الصلاحية صادرة عن VeriSign، ويعود لشركة Tencent Technology. تتمثل مهمته الأساسية في تحميل ملف DLL يتصل بخادم C2 لتنزيل وتنفيذ Winos 4.0.
الخلاصة
تُظهر هذه الحملة عملية برمجيات خبيثة منظمة تركز على منطقة جغرافية معينة، باستخدام مثبتات NSIS مخادعة لتسليم Winos 4.0 بهدوء. وتعتمد بشدة على الحمولات المقيمة في الذاكرة، وتحميل DLL العاكس، وتطبيقات طعم موقعة بشهادات شرعية لتجنب الاكتشاف. تشير أوجه التشابه في البنية التحتية والاستهداف اللغوي إلى صلات بمجموعة Silver Fox APT، مع أنشطة محتملة تستهدف الناطقين بالصينية.
كلمات مفتاحية
