Оферта за отстъпка за множество лицензи
База данни за заплахи Инструменти за отдалечено администриране HoldingHands RAT

HoldingHands RAT

До Mezo през Инструменти за отдалечено администриране, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Зловредните зловредни програми Winos 4.0 (проследени също като ValleyRAT) разшириха дейността си отвъд Китай и Тайван, за да се насочат към Япония и Малайзия. В тези скорошни кампании групата разпространи втори троянски кон с отдалечен достъп (RAT), идентифициран като HoldingHands (известен още като Gh0stBins), използвайки социално инженерни фишинг документи като основен вектор.

Как се разпространява кампанията

Злонамереният софтуер се разпространява чрез фишинг имейли, които включват PDF прикачени файлове с вградени злонамерени връзки. PDF файловете се представят за официални съобщения – в някои случаи, представяйки се за документи на Министерството на финансите – и съдържат множество връзки, само една от които води до злонамерено изтегляне. В други случаи примамката е уеб страница (например страница на японски език, хоствана на URL адрес като „twsww[.]xin/download[.]html“), която подканва жертвите да изтеглят ZIP архив, съдържащ RAT файла.

Методи за разпространение и атрибуция

Winos 4.0 обикновено се разпространява чрез фишинг и SEO-отравящи кампании, които пренасочват жертвите към фалшиви страници за изтегляне, представящи се за легитимен софтуер (наблюдаваните примери включват фалшиви инсталатори за Google Chrome, Telegram, Youdao, Sogou AI, WPS Office и DeepSeek). Изследователите по сигурността свързват използването на Winos с агресивен киберпрестъпен клъстер, известен като Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 и Void Arachne. През септември 2025 г. изследователи съобщиха, че този деятел злоупотребява с предварително недокументиран уязвим драйвер, свързан с продукт на доставчик, наречен WatchDog Anti-malware, в техника BYOVD (Bring Your Own Vulnerable Driver), за да деактивира защитата на крайните точки. По-рано (август 2025 г.) групата използва SEO отравяне, за да разпространява модули HiddenGh0st и Winos, а доклад от юни документира Silver Fox, използващ PDF файлове с капани, за да инициира многоетапни инфекции, които в крайна сметка са разгърнали HoldingHands RAT. Сред историческите примамки са Excel файлове с данъчна тематика, използвани срещу Китай, още от март 2024 г.; последните усилия се насочиха към фишинг целеви страници, насочени към Малайзия.

Многоетапна инфекция и персистиране

Инфекцията обикновено започва с изпълним файл, маскиран като акцизен одит или друг официален документ. Този изпълним файл зарежда злонамерен DLL файл, който действа като зареждащ код за полезен товар с име „sw.dat“. Зареждащият файл извършва няколко анти-аналитични и защитни действия – анти-виртуални проверки, сканиране на работещи процеси за известни продукти за сигурност и прекратяването им, ескалиране на привилегиите и деактивиране на планировчика на задачите на Windows – преди да предаде контрола на следващите етапи.

Наблюдавани файлове, прехвърлени в системата:

  • svchost.ini — съдържа RVA за VirtualAlloc.
  • TimeBrokerClient.dll (легитимният TimeBrokerClient.dll, преименуван на BrokerClientCallback.dll).
  • msvchost.dat — криптиран shellcode.
  • system.dat — криптиран полезен товар.
  • wkscli.dll — неизползван/заместващ DLL файл.

Задействане на планировчика на задачи и скрито активиране

Вместо да разчита на изрично стартиране на процес, кампанията използва поведението на планировчика на задачите на Windows: планировчикът на задачите се изпълнява като услуга под svchost.exe и по подразбиране е конфигуриран да се рестартира скоро след неуспех. Злонамереният софтуер променя файловете, така че когато услугата на планировчика на задачите се рестартира, svchost.exe зарежда злонамерения файл TimeBrokerClient.dll (преименуван на BrokerClientCallback.dll). Този DLL файл разпределя памет за криптирания шелкод, използвайки адреса VirtualAlloc, съхранен в svchost.ini, след което кара msvchost.dat да декриптира system.dat и да извлече полезния товар HoldingHands. Този тригер „рестартиране на услугата → зареждане на DLL“ намалява необходимостта от директно изпълнение на процеси и усложнява откриването, базирано на поведение.

Ескалация на привилегиите към TrustedInstaller

За да получи необходимите разрешения за преименуване и замяна на защитени системни компоненти (например, преименуване на оригиналния TimeBrokerClient.dll), зареждащата програма се представя за системни акаунти с високи привилегии. Наблюдаваната последователност е:

  • Активирайте SeDebugPrivilege за достъп до процеса Winlogon и неговия токен.
  • Приемете токена Winlogon, за да работите като SYSTEM.
  • От SYSTEM, вземете контекст за сигурност TrustedInstaller — акаунтът, използван от Windows Resource Protection за защита на критични файлове на операционната система.
  • Използвайки този контекст на TrustedInstaller, зловредният софтуер може да променя защитени файлове в C:\Windows\System32 (действие, което обикновено е ограничено дори за администратори).

Как полезният товар изпълнява и поддържа контрол

Зловредният компонент TimeBrokerClient разпределя памет за RVA в svchost.ini, поставя декриптирания шелкод от msvchost.dat там и го изпълнява. Декриптираният полезен товар разопакова HoldingHands, който след това установява комуникация с отдалечен команден и контролен (C2) сървър. Наблюдаваните възможности включват:

  • Изпращане на информация за хоста до C2.
  • Изпращане на съобщения за пулс на всеки 60 секунди, за да се поддържа каналът активен.
  • Получаване и изпълнение на отдалечени команди (кражба на данни, изпълнение на произволни команди, извличане на допълнителни полезни товари).
  • Допълнителна функция, позволяваща на оператора да актуализира C2 адреса чрез запис в системния регистър на Windows.

Таргетиране, езиков фокус и вероятен мотив

Последните проби и примамки показват фокус върху жертви, говорещи китайски език, въпреки че географският обхват вече включва Япония и Малайзия. Оперативните модели – разузнаване, регионално насочване, скрито постоянство и модулна функционалност за задна врата – сочат към събиране на разузнавателна информация в региона, като имплантите често остават спящи в очакване на допълнителни инструкции.

Обобщение

Свързани със Silver Fox оператори разшириха дейността си, свързана с Winos 4.0, и добавиха HoldingHands RAT към инструментариума си, използвайки изпипано социално инженерство (PDF файлове и SEO-отровени страници) и сложна многоетапна верига за изпълнение, която злоупотребява с поведението на планировчика на задачите и привилегиите на TrustedInstaller, за да продължи да функционира и да избегне откриването. Възможностите и насочването на операцията предполагат фокусирано регионално усилие за събиране на разузнавателна информация с дълготрайни, модулни импланти, чакащи команди от оператора.

Тенденция

TechBrowser

Зловреден софтуер за Mac, Рекламен софтуер, Потенциално нежелани програми
След оценка от изследователи по информационна сигурност, приложението TechBrowser е идентифицирано като попадащо в категорията на рекламния софтуер. Тази класификация се основава на способността му...

American Express - Опитът за влизане беше блокиран -...

Фишинг, Спам
Киберпрестъпниците често използват познатостта на надеждните марки, за да примамят нищо неподозиращи потребители да разкрият чувствителна информация. Измамата „American Express - Опитът за влизане беше блокиран“ е отличен пример за тази тактика. Тези имейли се представят за предупреждения за сигурност от American Express, като твърдят, че подозрителен опит за влизане е блокиран и призовават...

Най-гледан

Зареждане...