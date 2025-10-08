Специалисты компании "Гарда" сообщили о новой целевой кибератаке, в ходе которой злоумышленники применили обновлённую версию вредоносного ПО под названием Winos 4.0. Эта атака оказалась особенно примечательной: в ней обнаружены методы, ранее характерные для другой известной хакерской группировки — APT41 (Winnti), которую западные эксперты связывают с кибершпионажем в интересах китайского правительства.

Что известно о новой атаке SilverFox

Аналитики "Гарды" зафиксировали активность хакерской группы SilverFox, которая использовала Winos 4.0 для целевого проникновения в корпоративную сеть. Вредонос распространялся через тщательно подготовленные фишинговые письма — не только с привычными ссылками, но и с QR-кодами, побуждающими жертву перейти на заражённый ресурс.

"Новая атака Winos 4.0 демонстрирует продуманную многоступенчатую схему: социальная инженерия для входа, упаковка и этапный дроппинг, укрепление присутствия через скрипты и задания, а также попытки скрыть свое поведение в атакуемой сети и процессах", — сказала старший аналитик сетевой безопасности группы компаний "Гарда" Евгения Устинова.

По данным экспертов, заражение начинается с запуска самораспаковывающегося архива WinRAR SFX, который загружает следующий компонент вредоноса. После установки Winos 4.0 закрепляется в системе через планировщик задач (AtLogOn), обеспечивая автоматический запуск при входе пользователя в систему.

Как работает Winos 4.0

Новая версия вредоноса отличается повышенной сложностью и гибкостью. После первичного заражения основной модуль обращается к командному серверу (CC) для загрузки дополнительных компонентов. Для обмена данными используется не только модифицированный протокол, но и ещё один, ранее ассоциировавшийся исключительно с группой APT41. Это стало первым случаем, когда SilverFox применили подобную технику.

Также были зафиксированы продвинутые методы сокрытия:

• загрузка кода напрямую в память процессов,

• обфускация строк и импортов,

• минимизация артефактов в файловой системе,

• использование легитимных утилит Windows для скрытого выполнения команд.

Сравнение группировок SilverFox и APT41

Характеристика SilverFox APT41 (Winnti) Предполагаемая страна происхождения Китай Китай Основные цели Корпоративные сети, промышленные объекты Государственные и технологические организации Методы атаки Социальная инженерия, фишинг с QR-кодами, WinRAR SFX Supply-chain атаки, эксплойты уязвимостей Windows Используемые протоколы Собственный + протокол APT41 Собственный, ранее уникальный для Winnti Цель кампании Сбор данных и удалённое управление Шпионаж и кража интеллектуальной собственности

Схожесть инструментов и сетевых протоколов заставляет исследователей предполагать возможную связь между группировками или обмен технологиями между ними.

Советы шаг за шагом: как защититься от подобных атак

Проверяйте вложения. Не открывайте файлы из подозрительных писем, особенно содержащие архивы .exe или .sfx . Не сканируйте QR-коды из неизвестных источников. Хакеры всё чаще используют их для перехода на заражённые сайты. Используйте многоуровневую защиту. Установите антивирус с функцией поведенческого анализа (например, Kaspersky Endpoint Security, ESET Protect, Dr. Web Enterprise). Ограничьте права пользователей. Запрещайте выполнение установочных файлов без подтверждения администратора. Следите за планировщиком задач. Появление новых неизвестных заданий — частый признак закрепления вредоноса. Регулярно обновляйте ПО. Большинство подобных атак используют известные, но не закрытые уязвимости.

Ошибка → Последствие → Альтернатива

Ошибка: открытие письма от неизвестного отправителя с вложением.

Последствие: заражение системы и утечка корпоративных данных.

Альтернатива: фильтрация почты через сервисы защиты, например Microsoft Defender for Office 365 или Proofpoint .

Ошибка: отсутствие контроля за сетевыми подключениями.

Последствие: вредонос устанавливает связь с внешними CC-серверами.

Альтернатива: использовать фаервол с системой обнаружения вторжений (IDS/IPS).

Ошибка: игнорирование обновлений Windows.

Последствие: эксплуатация старых уязвимостей злоумышленниками.

Альтернатива: автоматическое обновление системы и приложений.

А что если организация уже подверглась атаке?

Если есть признаки заражения — замедление работы, подозрительные процессы, неизвестные задания в планировщике — необходимо немедленно:

• изолировать поражённые узлы от сети;

• провести анализ логов и сетевого трафика;

• сменить пароли всех учетных записей;

• обратиться в службу реагирования на инциденты (SOC).

Своевременное реагирование позволяет остановить распространение вредоноса и минимизировать ущерб.

Плюсы и минусы автоматизированных средств защиты

Плюсы Минусы Быстрое обнаружение аномалий Возможны ложные срабатывания Централизованное управление сетью Требует профессиональной настройки Автоматическое обновление сигнатур Высокая стоимость для малого бизнеса Возможность интеграции с SIEM-системами Не защищает от ошибок сотрудников

FAQ

Что такое Winos 4.0?

Это многофункциональное вредоносное ПО, предназначенное для удалённого управления, кражи данных и шпионажа.

Можно ли обнаружить Winos 4.0 стандартным антивирусом?

Современные антивирусы с эвристическим анализом способны выявить активность вредоноса, но лишь при регулярных обновлениях баз.

Кого чаще атакует SilverFox?

Организации, работающие в сфере технологий, телекоммуникаций и промышленности, где есть доступ к конфиденциальной информации.

Мифы и правда

Миф: фишинговые атаки легко распознать по ошибкам в тексте.

Правда: современные письма тщательно оформлены и визуально не отличаются от настоящих.

Миф: антивирус защищает от всех угроз.

Правда: только комплексная защита, включающая сетевой мониторинг и обучение сотрудников, реально снижает риски.

Миф: если не скачивать файлы, то заразиться невозможно.

Правда: вредонос может быть внедрён даже через просмотрщик документов или QR-код.

Интересные факты

• Группа APT41 упоминалась в расследованиях ФБР и считается одной из самых активных кибершпионских структур Китая.

• Технология WinRAR SFX используется не только хакерами — она легальна, но часто применяется в вредоносных архивах.

• QR-фишинг стал одним из главных трендов 2025 года: доля атак с его использованием выросла на 65%.

Исторический контекст

Первое упоминание группировки SilverFox появилось в 2021 году, когда исследователи зафиксировали серию атак на технологические компании Восточной Азии. С тех пор их инструментарий значительно усложнился, а взаимодействие с элементами кода APT41 указывает на возможное слияние интересов или совместные операции.