E安全消息，11月6日，网络安全公司Fortinet报告称ios9.3vpn自动掉线，黑客利用Winos4.0框架通过虚假的游戏相关应用程序，继续以中国Windows用户为目标。

　　Winos4.0工具包相当于Sliver和Cobalt Strike这类后渗透框架。据E安全了解，今年夏天Trend Micro报告就已记录其针对中国用户进行攻击。

　　当时，一个被追踪为Void Arachne/Silver Fox的威胁行为者通过为中国市场修改的各种软件（VPN、Google Chrome浏览器）提供优惠，捆绑了恶意组件来诱骗受害者。

　　当看似合法的安装程序被执行时，它们会从“ad59t82g[.]com”下载一个DLL文件，启动一个多步骤感染过程。

　　第一阶段，DLL文件（you.dll）下载额外的文件，设置执行环境，并通过在Windows注册表中添加条目来建立持久性。

　　第二阶段，注入的shellcode加载API，检索配置数据，并建立与命令和控制（C2）服务器的连接。

　　第三阶段，另一个DLL（上线服务器检索额外的编码数据，将其存储在注册表HKEY_CURRENT_USER\\Console\\0中，并更新C2地址。

　　黑客已经连续几个月使用Winos4.0框架，看到新的活动出现表明其在恶意操作中的角色似乎已经稳固。

　　Fortinet将该框架描述为一个强大的工具，可用来控制被入侵的系统，功能类似于Cobalt Strike和Sliver。