江苏
关键词
网络攻击
安全厂商报告显示,知名威胁组织“银狐”(Silver Fox)正通过 Winos 4.0(又名 ValleyRAT)与新型远控木马 HoldingHands 在日本、马来西亚等地区开展攻击。此次活动主要以钓鱼邮件内嵌的恶意 PDF 作为初始载体,受害者被引导下载伪造的安装包或压缩文件,从而触发多阶段感染链。
攻击链利用 SEO 投毒和伪造下载页面吸引目标下载恶意程序,随后通过可执行文件旁加载恶意 DLL,将加密的 shellcode 写入系统并在内存中解密执行。样本会终止若干安全进程、进行反虚拟机检测、提升权限,并将多个组件投放到系统目录以保持隐蔽与持久性。
持久化机制包括创建计划任务并利用系统服务在重启时加载恶意 TimeBrokerClient.dll,避免直接执行可疑进程。最终,HoldingHands 在内存中建立与 C2 的连接,定期发送心跳并接收指令,具备窃取信息、执行任意命令与下载附加模块的能力。该家族新增了通过注册表动态更新 C2 地址的功能,提高了运营灵活性。
另有针对企业的人事与招聘类钓鱼浪潮(代号“丝绸诱捕行动”)通过带有恶意 .LNK 的简历邮件发动攻击,借助 PowerShell 下载掩护文档并侧载 Winos 载荷,主要针对金融科技、加密货币与交易平台类目标。攻击者常先以普通工具功能掩饰恶意行为,利用更新或后续指令转入危险阶段。
防御建议包括:减少不必要的外部下载,严格筛查电子邮件附件与链接,禁用或限制宏/快捷方式自动执行,强化终端与服务器的应用白名单与 DLL 签名校验,及时检测异常计划任务与可疑注册表变更,并在检测到可疑出站流量时快速追踪 C2 连接。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
