2025-03-03 | 周峻佑
此篇文章深入剖析了一波針對臺灣企業的資安攻擊,資安業者 Fortinet 發出警告,指出惡意程式 Winos 4.0 近期將攻擊目標轉向臺灣。駭客利用極具欺騙性的社交工程手法,假借國稅局名義,聲稱進行隨機稅務抽查,企圖誘騙企業財務人員點擊釣魚郵件中的惡意附件,最終導致企業電腦遭到惡意軟體植入。
本文更詳細描述了攻擊的手法與技術細節。最初,駭客透過電子郵件發送一封附帶 PDF 檔案 的釣魚信件,偽裝成財政部稅務稽查的官方公文,要求收件人點擊連結下載「受稽查企業名冊」。一旦點擊,受害者的電腦便會下載 ZIP 壓縮檔,並在執行其中的檔案後,觸發一連串惡意行為。攻擊者會執行 20250109.exe,該程式表面上是螢幕錄製工具 ApowerREC,實際上卻被修改為惡意載具,藉由載入 lastbld2Base.dll 來解密並執行 Shell Code,為後續攻擊鋪路。
駭客展現了極為精細的防偵測機制,以避免被資安系統攔截。本文提到,攻擊程式每隔 兩秒截取螢幕畫面,透過像素比對來判斷是否為真實使用者操作,若變化超過 2 萬個像素,則確認電腦正在被實際使用,才會繼續執行攻擊,否則惡意程式將持續監控,甚至有受害者的電腦遭比對長達 一小時 才繼續後續行動。通過這道防偵測機制後,駭客便能從 C2 伺服器下載經過加密處理的 Shell Code,以及 Winos 4.0 相關模組,其中包含 登录模块.dll,負責執行 螢幕截圖、鍵盤側錄、剪貼簿竄改、USB 監控、迴避防毒偵測 等八大惡意功能。
此外,本文也提及攻擊者不僅利用上述技術,還透過另一條攻擊鏈來散布 Winos 4.0,改用Python 指令碼進行攻擊。駭客同樣以釣魚郵件傳送 PDF 附件,受害者若點擊下載 ZIP 檔案,便會啟動名為 「查看10.exe」 的程式,進而載入 Python311.dll 來解密 Shell Code,最後投放偽裝成 JPG 圖檔 的惡意模組,最終執行 上线模块.dll 來與惡意伺服器連線,展開更深層的攻擊。
這場針對臺灣企業的攻擊行動,顯示出 Winos 4.0 的攻擊者具有高度專業的資安對抗技術,不僅利用官方機構名義來增加攻擊的可信度,還設計出極為複雜的防偵測機制,讓惡意程式得以避開傳統的防毒軟體偵測。最後提醒企業與財務人員,應對來自官方機構的郵件提高警覺,避免點擊不明附件與連結,並加強內部資安防護,以降低遭受攻擊的風險。
