Winosはポストエクスプロイトフレームワークです。
Cobalt StrikeやSliverの領域ですね。
Winos4.0は、そのWinosの最近確認されているバージョンです。
どんなものでしょう。
- ターゲットOS
名前から想像できるともいえますが、ターゲットはWindows環境です。 - 入口
入口は偽ファイルです。
ゲームやゲーム関連ファイルを装って配布されます。
配布形式はインストーラーです。 - 多段階設置の第1段階
起動されたインストーラーは、まずはDLLをダウンロードしてきます。 - 多段階設置の第2段階
第1段階に取得されたDLLが、さらに別のファイルをダウンロードし、マルウェアの実行環境を整えます。
そして、レジストリを変更して永続性を確保します。 - 多段階設置の第3段階
挿入されたシェルコードがAPIをロードし、マルウェアの構成データを取得し、コマンドアンドコントロールサーバへの接続を確立します。 - 多段階設置の第4段階
脅威活動を行う各種モジュールをダウンロードします。
実施される機能は、システム情報収集、セキュリティツール検出(検出されると動作の中止します)、暗号資産ウォレットの情報収集、スクリーンショットやクリップボードやドキュメントファイルの取得、などです。
Winosを使ったキャンペーンが起こるたびに、その機能が順次拡張されてきている様子が伺えます。
攻撃に使用できるツールの台頭と進化が止まりません。
Threat Campaign Spreads Winos4.0 Through Game Application
https://www.fortinet.com/blog/threat-research/threat-campaign-spreads-winos4-through-game-application
| この記事をシェア |
|
|---|
