HoldingHands RAT

Winos 4.0 ম্যালওয়্যার পরিবারের (যা ValleyRAT নামেও পরিচিত) পিছনে হুমকিদাতারা জাপান এবং মালয়েশিয়াকে লক্ষ্য করে চীন এবং তাইওয়ানের বাইরে তাদের কার্যক্রম প্রসারিত করেছে। সাম্প্রতিক এই প্রচারণাগুলিতে, গ্রুপটি হোল্ডিংহ্যান্ডস (Gh0stBins নামে পরিচিত) নামে একটি দ্বিতীয় রিমোট-অ্যাক্সেস ট্রোজান (RAT) সরবরাহ করেছে, যা প্রাথমিক ভেক্টর হিসাবে সামাজিকভাবে প্রকৌশলী ফিশিং ডকুমেন্ট ব্যবহার করে।

প্রচারণা কীভাবে ছড়িয়ে পড়ে

আক্রমণকারীরা ফিশিং ইমেলের মাধ্যমে ম্যালওয়্যারটি বিতরণ করে যার মধ্যে এমবেডেড ক্ষতিকারক লিঙ্ক সহ পিডিএফ সংযুক্তি থাকে। পিডিএফগুলি অফিসিয়াল যোগাযোগের ছদ্মবেশ ধারণ করে - কিছু ক্ষেত্রে, অর্থ মন্ত্রণালয়ের নথির মতো ভান করে - এবং একাধিক লিঙ্ক ধারণ করে, যার মধ্যে কেবল একটি ক্ষতিকারক ডাউনলোডের দিকে পরিচালিত করে। অন্যান্য ক্ষেত্রে, প্রলোভন হল একটি ওয়েব পৃষ্ঠা (উদাহরণস্বরূপ, 'twsww[.]xin/download[.]html' এর মতো URL এ হোস্ট করা একটি জাপানি ভাষার পৃষ্ঠা) যা ভুক্তভোগীদের RAT ধারণকারী একটি জিপ আর্কাইভ আনতে প্ররোচিত করে।

বিতরণ পদ্ধতি এবং বৈশিষ্ট্য

Winos 4.0 সাধারণত ফিশিং এবং SEO-বিষক্রিয়া প্রচারণার মাধ্যমে প্রচারিত হয় যা ভুক্তভোগীদের বৈধ সফ্টওয়্যার হিসেবে জাল ডাউনলোড পৃষ্ঠাগুলিতে পুনঃনির্দেশিত করে (উদাহরণস্বরূপ দেখা গেছে যে Google Chrome, Telegram, Youdao, Sogou AI, WPS Office এবং DeepSeek এর জন্য জাল ইনস্টলার অন্তর্ভুক্ত)। নিরাপত্তা গবেষকরা Winos এর ব্যবহারকে একটি আক্রমণাত্মক সাইবার অপরাধী গোষ্ঠীর সাথে যুক্ত করেছেন যা বিভিন্নভাবে সিলভার ফক্স, সুইমস্নেক, ভ্যালি থিফ (দ্য গ্রেট থিফ অফ ভ্যালি), UTG-Q-1000 এবং ভয়েড আরাকনে নামে পরিচিত। 2025 সালের সেপ্টেম্বরে, গবেষকরা রিপোর্ট করেছেন যে এই অভিনেতা একটি পূর্বে নথিভুক্ত দুর্বল ড্রাইভারকে অপব্যবহার করেছেন যা ওয়াচডগ অ্যান্টি-ম্যালওয়্যার নামে একটি বিক্রেতা পণ্যের সাথে একটি BYOVD (Bring Your Own Vulnerable Driver) কৌশলে এন্ডপয়েন্ট সুরক্ষা অক্ষম করার জন্য ব্যবহার করা হয়েছিল। এর আগে (আগস্ট 2025), গ্রুপটি HiddenGh0st এবং Winos মডিউল ছড়িয়ে দেওয়ার জন্য SEO বিষক্রিয়া ব্যবহার করেছিল এবং জুন রিপোর্টে সিলভার ফক্স বুবি-ট্র্যাপড PDF ব্যবহার করে বহু-পদক্ষেপের সংক্রমণ তৈরির জন্য নথিভুক্ত করা হয়েছিল যা শেষ পর্যন্ত HoldingHands RAT ব্যবহার করেছিল। ঐতিহাসিক প্রলোভনের মধ্যে রয়েছে ২০২৪ সালের মার্চ মাস থেকে চীনের বিরুদ্ধে ব্যবহৃত কর-ভিত্তিক এক্সেল ফাইল; সাম্প্রতিক প্রচেষ্টাগুলি মালয়েশিয়ান-লক্ষ্যযুক্ত ফিশিং ল্যান্ডিং পৃষ্ঠাগুলিতে স্থানান্তরিত হয়েছে।

বহু-পর্যায়ের সংক্রমণ এবং স্থায়িত্ব

সংক্রমণ সাধারণত এক্সিকিউটেবল অডিট বা অন্যান্য অফিসিয়াল ডকুমেন্টের ছদ্মবেশে তৈরি একটি এক্সিকিউটেবল ফাইল দিয়ে শুরু হয়। এই ফাইলটি একটি ক্ষতিকারক DLL সাইডলোড করে, যা 'sw.dat' নামক একটি পেলোডের জন্য শেলকোড লোডার হিসেবে কাজ করে। লোডারটি বেশ কয়েকটি অ্যান্টি-অ্যানালাইসিস এবং ডিফেন্সিভ অ্যাকশন সম্পাদন করে - অ্যান্টি-ভিএম চেক, পরিচিত নিরাপত্তা পণ্যগুলির জন্য চলমান প্রক্রিয়াগুলি স্ক্যান করা এবং সেগুলি বন্ধ করা, বিশেষাধিকার বৃদ্ধি করা এবং উইন্ডোজ টাস্ক শিডিউলার অক্ষম করা - পরবর্তী পর্যায়ে নিয়ন্ত্রণ হস্তান্তর করার আগে।

সিস্টেমে ফেলে দেওয়া পর্যবেক্ষণ করা ফাইলগুলি:

• svchost.ini — VirtualAlloc-এর জন্য RVA ধারণ করে।
• TimeBrokerClient.dll (বৈধ TimeBrokerClient.dll নাম পরিবর্তন করে BrokerClientCallback.dll করা হয়েছে)।

• msvchost.dat — এনক্রিপ্ট করা শেলকোড।

• system.dat — এনক্রিপ্ট করা পেলোড।

• wkscli.dll — অব্যবহৃত/স্থানধারক DLL।

টাস্ক শিডিউলার ট্রিগার এবং স্টিলথি অ্যাক্টিভেশন

একটি স্পষ্ট প্রক্রিয়া লঞ্চের উপর নির্ভর করার পরিবর্তে, প্রচারাভিযানটি Windows Task Scheduler আচরণকে কাজে লাগায়: Task Scheduler svchost.exe এর অধীনে একটি পরিষেবা হিসাবে চলে এবং ডিফল্টভাবে ব্যর্থতার পরেই পুনরায় চালু করার জন্য কনফিগার করা হয়। ম্যালওয়্যারটি ফাইলগুলিকে পরিবর্তন করে যাতে Task Scheduler পরিষেবা পুনরায় চালু হলে, svchost.exe ক্ষতিকারক TimeBrokerClient.dll (BrokerClientCallback.dll নামকরণ করা হয়েছে) লোড করে। সেই DLL svchost.ini-তে সংরক্ষিত VirtualAlloc ঠিকানা ব্যবহার করে এনক্রিপ্ট করা শেলকোডের জন্য মেমরি বরাদ্দ করে, তারপর msvchost.dat কে system.dat ডিক্রিপ্ট করতে এবং HoldingHands পেলোড এক্সট্র্যাক্ট করতে বাধ্য করে। এই 'সার্ভিস রিস্টার্ট → DLL লোড' ট্রিগারটি সরাসরি প্রক্রিয়া সম্পাদনের প্রয়োজনীয়তা হ্রাস করে এবং আচরণ-ভিত্তিক সনাক্তকরণকে জটিল করে তোলে।

TrustedInstaller-এ সুবিধা বৃদ্ধি

সুরক্ষিত সিস্টেম উপাদানগুলির নাম পরিবর্তন এবং প্রতিস্থাপনের জন্য প্রয়োজনীয় অনুমতি পেতে (উদাহরণস্বরূপ, প্রকৃত TimeBrokerClient.dll নাম পরিবর্তন করে), লোডারটি উচ্চ-সুবিধাপ্রাপ্ত সিস্টেম অ্যাকাউন্টের ছদ্মবেশ ধারণ করে। পর্যবেক্ষণ করা ক্রমটি হল:

• Winlogon প্রক্রিয়া এবং এর টোকেন অ্যাক্সেস করতে SeDebugPrivilege সক্ষম করুন।
• SYSTEM হিসেবে চালানোর জন্য Winlogon টোকেনটি গ্রহণ করুন।
• SYSTEM থেকে, একটি TrustedInstaller নিরাপত্তা প্রসঙ্গ কিনুন — গুরুত্বপূর্ণ OS ফাইলগুলি সুরক্ষিত করার জন্য Windows Resource Protection দ্বারা ব্যবহৃত অ্যাকাউন্ট।
• সেই TrustedInstaller প্রেক্ষাপট ব্যবহার করে, ম্যালওয়্যারটি C:\Windows\System32-তে সুরক্ষিত ফাইলগুলি পরিবর্তন করতে পারে (একটি ক্রিয়া যা সাধারণত প্রশাসকদের জন্যও সীমাবদ্ধ)।

পেলোড কীভাবে নিয়ন্ত্রণ পরিচালনা করে এবং বজায় রাখে

ক্ষতিকারক TimeBrokerClient কম্পোনেন্টটি svchost.ini-তে RVA অনুসারে মেমোরি বরাদ্দ করে, msvchost.dat থেকে ডিক্রিপ্ট করা শেলকোড সেখানে রাখে এবং এটি চালায়। ডিক্রিপ্ট করা পেলোডটি HoldingHands আনপ্যাক করে, যা তারপর একটি রিমোট কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ স্থাপন করে। পর্যবেক্ষণ করা ক্ষমতাগুলির মধ্যে রয়েছে:

• C2 তে হোস্ট তথ্য পাঠানো হচ্ছে।
• চ্যানেলটিকে জীবন্ত রাখতে প্রতি ৬০ সেকেন্ডে হার্টবিট বার্তা পাঠানো হচ্ছে।
• দূরবর্তী কমান্ড গ্রহণ এবং কার্যকর করা (ডেটা চুরি, ইচ্ছামত কমান্ড কার্যকর করা, অতিরিক্ত পেলোড আনা)।

• একটি অতিরিক্ত বৈশিষ্ট্য যা অপারেটরকে উইন্ডোজ রেজিস্ট্রি এন্ট্রির মাধ্যমে C2 ঠিকানা আপডেট করার অনুমতি দেয়।

লক্ষ্য নির্ধারণ, ভাষার উপর জোর, এবং সম্ভাব্য উদ্দেশ্য

সাম্প্রতিক নমুনা এবং প্রলোভনগুলি চীনা ভাষার শিকারদের উপর দৃষ্টি নিবদ্ধ করার ইঙ্গিত দেয়, যদিও ভৌগোলিক পরিধি এখন জাপান এবং মালয়েশিয়াকে অন্তর্ভুক্ত করে। অপারেশনাল প্যাটার্ন - পুনরুদ্ধার, আঞ্চলিক লক্ষ্যবস্তু, গোপন অধ্যবসায় এবং মডুলার ব্যাকডোর কার্যকারিতা - এই অঞ্চলে গোয়েন্দা সংগ্রহের দিকে ইঙ্গিত করে, যেখানে ইমপ্লান্টগুলি প্রায়শই পরবর্তী নির্দেশাবলীর জন্য সুপ্ত অবস্থায় পড়ে থাকে।

সারাংশ

সিলভার ফক্স-লিঙ্কযুক্ত অপারেটররা Winos 4.0 কার্যকলাপ সম্প্রসারিত করেছে এবং তাদের টুলসেটে HoldingHands RAT যুক্ত করেছে, পালিশ করা সোশ্যাল-ইঞ্জিনিয়ারিং (PDF এবং SEO-বিষাক্ত পৃষ্ঠা) এবং একটি অত্যাধুনিক মাল্টি-স্টেজ এক্সিকিউশন চেইন ব্যবহার করে যা টাস্ক শিডিউলার আচরণ এবং TrustedInstaller সুবিধাগুলিকে অপব্যবহার করে সনাক্তকরণকে টিকিয়ে রাখতে এবং এড়াতে পারে। অপারেশনের ক্ষমতা এবং লক্ষ্যবস্তু দীর্ঘস্থায়ী, মডুলার ইমপ্লান্ট অপারেটর কমান্ডের জন্য অপেক্ষা করে একটি কেন্দ্রীভূত আঞ্চলিক গোয়েন্দা সংগ্রহ প্রচেষ্টার ইঙ্গিত দেয়।