【精選威脅情資】台灣報稅流程遭鎖定： Silver Fox 以 Winos 4.0 遠端木馬發動精準釣魚攻擊

‍

危害與影響

目前，資安團隊觀察到一系列鎖定台灣的精準釣魚攻擊，主要威脅為投遞一種模組化 Windows 遠端存取木馬：Winos4.0（ValleyRat），此舉與 APT 組織 Silver Fox（又稱 Void Arachne）高度相關。本次惡意活動被評估為「高嚴重度」，因為攻擊手法結合了高明的社交工程與快速變換的投遞基礎設施，以及具侵略性的規避手法來躲避偵測，企圖對受害者進行長期的遠端控制。

‍

分析師觀點

本次行動挪用大量與「稅務、發票」相關的情境，因此對於經常接觸外部帳務、法遵與政府往來文件的組織來說特別危險，特別是財務與會計部門，往往是遭以「官方文件」之名、行投遞惡意軟體之實的重點目標。

‍

描述

此次攻擊活動以在地化、貼近實務的商務情境為誘餌，模仿台灣本地日常作業流程，包括：

• 稅務稽核通知
• 報稅軟體安裝程式
• 雲端電子發票下載
• 冒充政府或官方風格網站（包含相似網域與誤導性連結）

受害者被引導開啟惡意附件（壓縮檔）或點擊內嵌連結，下載惡意程式。由於這些惡意檔案分散架設於不斷輪替的網域與雲端儲存服務上，高變動性讓攻擊者得以對抗仰賴一次性網域封鎖清單等靜態防禦機制。

主要威脅：透過 Winos 4.0（ValleyRat）入侵企業

一旦成功執行，Winos4.0 即為攻擊者提供一個彈性的遠端管理與入侵後操作平台。該惡意程式採外掛（plugin）架構，攻擊者可按需求載入下列模組，例如：

• 檔案管理
• 螢幕截圖／遠端螢幕互動
• 遠端控制
• 系統管理

本次行動凸顯惡意行為的一項關鍵變化：執行模式變得更隱匿、低足跡，包括將模組儲存在 Windows registry 中、以記憶體載入方式執行，減少傳統磁碟端的存取，進而增加鑑識取證的難度。

本次攻擊在受害 Windows 系統上的主要影響，是廣泛的檔案加密，這會立刻中斷營運，不僅無法存取關鍵檔案、業務流程也將受阻。此外，遭竊資料可能被用於後續攻擊。

影響範圍

儘管目前觀察到的攻擊主要集中在台灣，但該 APT 組織在亞洲地區持續活躍，且過往鎖定的產業範圍相當廣泛，包括：

• 醫療照護
• 政府／公共部門
• 關鍵基礎設施
• 資安公司
• 電子商務與金融
• 銷售與管理型企業

‍

技術分析

本事件的技術核心，是在台灣發動多階段釣魚攻擊，首先投遞 Winos 4.0（ValleyRat），接著繞過 UAC 、提升權限，透過 BYOVD 手法載入存在漏洞的已簽章驅動程式（wsftprm.sys）以在核心層級規避防禦，最後部署模組化遠端木馬，自 C2 伺服器下載其核心元件與外掛、儲存在 Windows registry 中並以記憶體載入。
在相關案例中，Winos 4.0 (ValleyRat) 的投遞手法不斷改變：從以 LNK 為主的下載鏈，轉為 DLL 側載，同時使用不斷輪替的網域與雲端儲存服務作為基礎設施，並維持相對穩定的 C2（47.76.86.151）進行入侵後控制。

偵察（Reconnaissance）

透過 Registry 檢查主機防禦狀態：
Winos 4.0 會查詢 Windows 登錄值 VulnerableDriverBlocklistEnable，位置為：

• SYSTEM\\CurrentControlSet\\Control\\CI\\Config
• 備援路徑為 ControlSet001

這讓惡意程式能推斷 Microsoft 的「易受攻擊驅動程式封鎖清單」是否啟用，並據此調整驅動程式載入行為與路徑。

透過行程列舉辨識安全工具：
透過驅動程式取得核心層級能力後，惡意程式會將執行中的行程與硬編碼的資安產品清單比對，確認哪些防禦存在，並將其停用。

資源建置（Resource Development）

輪替式投遞基礎設施：
攻擊者註冊與使用多個網域，也利用中國的雲端儲存服務託管惡意 payload 與壓縮檔，例如：

• bqdrzbyq[.]cn（託管 Setup64.exe）
• njhwuyklw[.]com 轉址至雲端託管壓縮檔
• TOS 儲存桶如 *.tos-cn-shanghai.volces[.]com 託管 E-Invoice.rar

初始存取（Initial Access）

模擬在地商務情境的魚叉式釣魚：
受害者收到以台灣稅務與電子發票流程為主題的釣魚郵件（如：稅務稽核通知、報稅軟體安裝程式、雲端電子發票下載等）。

透過附件或連結投遞惡意壓縮檔：

• 行動 1：RAR 壓縮檔（例如 taxIs_RX3001.rar），內含誘餌文件與惡意 LNK。
• 行動 2：釣魚連結冒充官方網站，實際導向攻擊者控制的基礎設施（多為雲端儲存服務），下載壓縮檔，內含合法可執行檔和惡意 DLL，用於側載。

執行（Execution）

行動 1：LNK → cmd.exe → 分段下載 → 安裝程式解壓

以 LNK 啟動執行鏈：
捷徑使用相對路徑呼叫系統命令處理器：

..\\..\\..\\..\\Windows\\System32\\cmd.exe

混淆的指令鏈：
被執行的腳本負責分階段安裝與下載：

• 建立工作目錄：%public%\\501
• 將合法的 curl.exe 複製到該目錄並重新命名為 url.exe。
• 使用改名後的程式自 bqdrzbyq[.]cn 下載下一階段可執行檔 Setup64.exe。
• 啟動 DeviceCredentialDeployment.exe，讓行為在分階段部署時看起來更「正常」。

安裝程式／投放器行為：
當偽裝成「64位安裝包_特別版」 的 Setup64.exe 執行時，會尋找名為 EXPAND 的內嵌可執行資源，將其解壓並寫入：

C:\\ProgramData\\Golden

這為後續 ValleyRat 的部署與驅動程式的防禦規避建立本機基礎。

行動 2：合法 EXE 和 惡意 DLL 側載

攻擊者從 LNK 中介鏈轉向 DLL 側載的手法為：

• 受害者執行壓縮檔中的合法應用程式。
• 合法程式載入攻擊者提供的惡意 DLL，它接著執行下一階段程式碼／shellcode。

在惡意 DLL 中觀察到一個明顯的開發者產物——PDB 路徑：

C:\\Users\\Administrator\\Desktop\\大馬專案(二)\\x64\\Release\\DLL.pdb

這顯示其內部專案組織分工明確，能以此為線索，追蹤並分析其他相關的惡意活動。

持久性（Persistence）

Registry 常駐模組（偏向無檔案化）：
C2 通訊建立後，Winos 4.0 會從 C2 下載核心與外掛模組，直接儲存在 Windows registry 中，以記憶體載入，避免在磁碟端留下痕跡。

權限提升（Privilege Escalation）

繞過 UAC 以取得高權限執行：

• Winos 4.0 執行 RunUAC()，並透過CheckAdminPrivileges 檢查當前權限。
• 若尚未提權，則使用 BypassUACViaDebugObject，結合 RPC AppInfo 服務呼叫與 Debug Object Hijacking。
• 利用白名單的 Windows 二進位檔 computerdefaults.exe 進行提權，不觸發 UAC 提示，降低使用者可見度與遙測噪音。

透過 BYOVD 進行核心層級提升：
惡意程式採用「自備易受攻擊驅動程式」（Bring YourOwn Vulnerable Driver, BYOVD）技術，載入 wsftprm.sys（已簽章的 64 位元核心驅動程式「Topaz OFD - PM」，版本 2.0.0.0），以取得核心層級能力。

防禦規避（Defense Evasion）

本次行動在各階段皆使用多層次防禦規避手法：

• 指令混淆：刻意混淆由 LNK 觸發的 cmd.exe 指令鏈，以逃避偵測。
• 偽裝可信工具：將合法 curl.exe 複製並改名為 url.exe，放在 %public%\\501，有助繞過只依檔名判斷的簡單允許／封鎖邏輯，也增加初步調查難度。
• 透過受信任二進位檔執行（代理執行模式）：
  
  • DLL 側載利用合法可執行檔作為載入器。
  • 呼叫 DeviceCredentialDeployment.exe 作為「掩護」，以混入正常系統行為。
• 設計用於繞過監控的 BYOVD 驅動載入：
  
  • 惡意程式自 ntdll.dll 動態解析原生 API（如 RtlInitUnicodeString、RtlAdjustPrivilege、NtLoadDriver），以特定方式載入驅動程式，試圖避開標準服務監控。
  • 檢查 VulnerableDriverBlocklistEnable，依系統設定調整行為。
• 大規模壓制安全工具：
  
  • 在取得核心權限後，Winos 4.0 能持續監控安全產品的行程，並即時終止安全產品的活動。
  • 硬編碼目標清單包含多個 Microsoft Defender 元件（如 MsMpEng.exe、NisSrv.exe、smartscreen.exe、SecurityHealth*）以及第三方套件（趨勢科技、Symantec、360、火絨、Avast、AVG 等）。
  • 這是確保遠端木馬穩定運作、降低被移除機率的關鍵步驟。
• 組態混淆：
  
  • 惡意程式以 Base64 編碼儲存組態元素，包括 C2 位址與安全行程清單（後者甚至使用雙重 Base64 編碼）。
• 縮減磁碟足跡：
  
  • 模組／外掛儲存在 registry 並以記憶體載入，降低檔案型偵測與鑑識證據。

憑證存取（Credential Access）

透過外掛模組攔截登入資訊：
本次行動會下載一個支援鍵盤側錄功能的「登錄模組」 外掛，可攔截使用者輸入的帳號與密碼。

探查（Discovery）

• 作業系統／版本驗證： 在連線 C2 前，Winos4.0 會先驗證環境，檢查系統版本。
• 安全設定探查： 查詢 VulnerableDriverBlocklistEnable 登錄值，用於了解防禦配置。
• 防禦產品行程探查： 列舉執行中的行程，與內建安全工具清除清單比對，判斷已啟用哪些防禦。

資料收集（Collection）

透過外掛執行螢幕截圖：
Winos 4.0 會下載以螢幕為主的外掛模組，例如：

• 高更新率螢幕（原文為簡體中文：高速屏幕）
• 影音娛樂螢幕（原文為簡體中文：娱乐屏幕）
• 異形螢幕（原文為簡體中文：差异屏幕）

這些模組支援螢幕截圖或類遠端螢幕收集，使攻擊者能觀察使用者活動，並截取畫面上顯示的敏感資訊。

指揮與控制（Commandand Control）

透過攻擊基礎設施分段取回 payload ：

• 行動 1：使用偽裝下載器（%public%\\501\\url.exe，即改名後的 curl.exe），自 bqdrzbyq[.]cn 下載 Setup64.exe。
• 行動 2：透過釣魚跳轉基礎設施，從雲端儲存服務下載壓縮檔。

硬編碼 C2 並於執行時解碼：

• Winos 4.0 以 Base64 編碼兩次隱藏其 C2 IP47.76.86.151（TkRjdU56WXVPRFl1TVRVeA==），並於執行時解碼。
• 通過環境檢查後，連線 C2 下載核心「上線模組」DLL（此檔案名稱原本為簡體中文：上线模块.dll）。

模組化入侵後控制：

• 取得上線模組後，惡意程式再下載其他外掛（如檔案管理、螢幕模組、系統管理）及登入模組。
• 這些模組儲存在 registry 並以記憶體載入，使攻擊者得以持續進行類似「遠端管理」的操作，同時減少檔案層級的可見痕跡。
• 超越 HTTP/S 的服務級探測：偵察活動包含嘗試連線至政府系統的 SSH（Port 22），如澳洲財政部、阿富汗財政部、尼泊爾總理辦公室等，顯示其對直接遠端管理介面（而非僅是 Web 應用程式）具備高度興趣。

‍

緩解措施

Winos 4.0 攻擊行動之所以成功，主要是透過在地化釣魚（稅務稽核／報稅軟體／電子發票主題），串接多階段載入器、DLL 側載，以及利用已簽章驅動程式（wsftprm.sys）的 BYOVD 技術進行核心層級防禦規避。因此，緩解策略必須是多層次的，並預設「僅靠靜態網域封鎖必然不足」，因為攻擊者會輪替網域並利用雲端儲存服務。‍

1. 阻斷初始存取：郵件、網頁與使用者執行管控

強化釣魚偵測

• 對附件與內嵌連結同時啟用即時反釣魚、信譽評估與動態分析或沙箱。 本次攻擊運用相似網域（如 taxfnat[.]tw）及導向雲端託管 payload （如 tos-cn-shanghai.volces[.]com）。
• 將「官方稅務／電子發票」等官方、政府關鍵字視為高風險，對此類郵件套用更嚴格的檢查與沙箱策略。

降低惡意壓縮檔與 LNK 下載器成功率

• 封鎖或隔離本次攻擊鏈常見的附件類型（夾帶 LNK 的壓縮檔，或以壓縮檔投遞的「安裝程式」EXE）。
• 對可疑壓縮檔啟用「先在沙箱開啟」或「先動態分析再投遞」，尤其是內含捷徑檔（.LNK）或「誘餌文件+LNK」等異常組合。

資安意識培養與釣魚演練

• 制度化教育員工，對未預期的「政府／金融」類訊息採用其他管道（如電話、官方網站）進行驗證，避免對「在地業務流程」的過度信任。

2. 在端點上遏止 payload 投遞與前置階段行為

偵測或阻擋可疑指令鏈與偽裝合法工具（LOLBin）

可獵捕或封鎖本次行動中出現的模式，例如：

• 建立 %Public%\\501 等前置目錄
• 將 curl.exe 複製並改名為 url.exe，接著用其下載檔案
• 投放至異常路徑，如 C:\\ProgramData\\Golden

這些行為出現在攻擊鏈前期，是實務上具有高風險訊號的管控點，可在遠端木馬或外掛堆疊建立前預先攔截。

應用程式允許清單

第二波行動使用 DLL 側載（合法 EXE 從同目錄載入惡意 DLL）。降低風險的作法包括：

• 建立允許清單，只允許經核准的應用程式執行，限制來自使用者可寫入或臨時目錄的執行。
• 監控並警示「簽章／合法可執行檔從異常目錄載入 DLL」的行為。

3. 防止提權與驅動程式濫用（BYOVD）

啟用並強制執行 Microsoft 易受攻擊驅動程式封鎖清單

惡意程式明確檢查下列登錄值：

• SYSTEM\\CurrentControlSet\\Control\\CI\\Config\\VulnerableDriverBlocklistEnable
• SYSTEM\\ControlSet001\\Control\\CI\\Config\\VulnerableDriverBlocklistEnable

確保該控制項已啟用並受監控。這是與本次行動最直接相關的緩解措施之一，因攻擊的防禦規避高度依賴載入 wsftprm.sys。

監測並警示可疑驅動程式載入活動

Winos4.0 使用原生 API（如 NtLoadDriver），試圖規避「標準服務監控」。確保 EDR／SIEM 收集驅動載入事件，並與下列行為關聯分析：

• 先前發生的 UAC 繞過行為
• 隨後大量終止安全工具 process 的活動

降低本機系統管理員比例並強化 UAC 提權路徑

惡意程式試圖透過白名單二進位檔（如 computerdefaults.exe）繞過 UAC。減少本機系統管理員帳號普及率，監測此類二進位檔的異常提權，有助降低攻擊者載入核心驅動與關閉防禦的機會。

4. 透過信譽與網路管控限制 C2 與後續活動

封鎖並獵捕已知基礎設施，以利圍堵與溯源

為立即防禦與事後溯源，建議封鎖和獵捕：

• C2：47[.]76[.]86[.]151（以及相關觀察到的154[.]91[.]64[.]246）
• 報告中提及的投遞網域與跳轉器（如 bqdrzbyq[.]cn、taxfnat[.]tw、njhwuyklw[.]com，以及來自 tos-cn-shanghai.volces[.]com 儲存桶的可疑下載）

若懷疑遭入侵，建議的應變行動

• 一旦觀察到攻擊前期指標（LNK→cmd、%Public%\\501、wsftprm.sys 載入、對已知 C2 的外連），應立即隔離主機。
• 假設已存在憑證暴露風險，因惡意程式嘗試高完整性執行；對在受影響主機上使用過的帳號執行密碼重設，並檢視其特權存取狀況。

‍

參考資料

•         Massive Winos 4.0 Campaigns Target Taiwan

•         中國駭客 Silver Fox 假借稅務及電子發票名義為幌子，在臺灣散布惡意軟體 Winos 4.0

•         Massive Winos4.0 Campaigns Target Taiwan

•         Silver FoxAPT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations

•         Silver FoxAPT Targets Public Sector via Trojanized Medical Software

‍

入侵指標 (Indicator ofCompromise, IoCs)

Domains

bqdrzbyq[.]cn

taxfnat[.]tw

njhwuyklw[.]com

twtaxgo[.]cn

taxhub[.]tw

taukeny[.]com

taxpro[.]tw

lmaxjuyh[.]cn

tkooyvff[.]cn

etaxtw[.]cn

twswsb[.]cn

IP

47[.]76[.]86[.]151

URLs

hxxps://twmoi2002.tos-cn-shanghai.volces[.]com/E-Invoice.rar

hxxps://sdfw2026024.tos-cn-shanghai.volces[.]com/E-Invoice.rar

hxxps://twtaxgo[.]cn/uploads/20260129/taxIs_RX3001.7z

SHA256