去年資安公司Fortinet提出警告,他們發現惡意程式Winos 4.0(ValleyRAT)的攻擊活動瞄準臺灣企業,駭客冒充國稅局聲稱要抽查稅務,要求財務人員依照指示操作,後續相關活動持續蔓延,而且,駭客使用的惡意程式變得更加多元,像是:HoldingHands RAT(Gh0stBins)與Gh0stCringe,現在相關攻擊變得更加隱密、複雜,企業組織必須更加提高警覺。
Fortinet近期在臺灣發現多起針對性的網釣活動,中國駭客Silver Fox假借稅務稽核通知、報稅軟體安裝程式,以及雲端電子發票下載等誘餌,透過經過武器化處理的附件散布Winos 4.0,傳遞惡意軟體的手法也相當多元,包括使用惡意LNK檔、透過側載DLL的方式執行Shellcode,以及利用名為wsftprm.sys的元件從事自帶驅動程式(BYOVD)攻擊。值得留意的是,這次攻擊者運用輪替的網域與雲端服務作為散布惡意軟體的管道,企業若只靠封鎖特定網域的手段,將無法因應相關攻擊活動。
在其中一起活動裡,駭客假借稅務主題的誘餌,向使用者傳送壓縮檔taxIs_RX3001.rar,其內容是誘餌檔案及惡意LNK檔,一旦使用者執行LNK檔,電腦就會執行經混淆處理的一系列指令,然後利用系統公用程式curl.exe,從中國網域下載惡意安裝程式Setup64.exe,進而於受害電腦植入Winos 4.0。
另一波活動駭客假借財政部的名義,透過釣魚郵件接觸受害者,Fortinet發現駭客使用hxxp://taxfnat[.]tw/,讓使用者以為是政府架設的網站,但實際上,攻擊者會將他們導向中國的雲端服務下載壓縮檔;這種做法還有其他變形:駭客假借發送電子發票,信件裡的連結顯示的文字是hxxps://www.einvoice.nat.gov[.]tw/,不過真正連結的卻是另一個網域。這兩種手法傳遞的壓縮檔,攻擊者都是透過合法執行檔側載DLL,載入惡意驅動程式及最終有效酬載Winos 4.0。
而對於Winos 4.0的運作模式,攻擊者會先呼叫特定功能檢查環境與執行權限,然後利用存在弱點的驅動程式wsftprm.sys,以自帶驅動程式手法取得系統核心權限,比對電腦是否執行特定防毒軟體的處理程序,並將其終止。這些涵蓋作業系統內建的Microsoft Defender,以及趨勢科技、賽門鐵克等知名廠牌的防毒軟體,此外,駭客也偵測受害電腦是否執行360或火絨等中國防毒軟體,確定排除這些防毒軟體,以免干擾Winos 4.0運作後,電腦才會建立C2連線,下載此惡意軟體的外掛程式及登入模組,並直接載入記憶體運作,以便攻擊者進行後續活動。
這波行動的出現,也代表Silver Fox攻擊手法轉向,改用在記憶體內執行的策略隱匿行蹤,Fortinet認為,企業與使用者都要提高警覺,對於任何來自不受信任來源的檔案或連結,都必須格外小心處理。
熱門新聞
2026-02-23
2026-02-23
2026-02-20
2026-02-23
2026-02-23
2026-02-23
2026-02-23