Slevová nabídka pro více licencí
Databáze hrozeb Nástroje pro vzdálenou správu HoldingHands RAT

HoldingHands RAT

V roce Mezo v roce Nástroje pro vzdálenou správu, Pokročilá trvalá hrozba (APT)
Přeložit do:

Aktéři stojící za malwarem z rodiny Winos 4.0 (sledovaným také jako ValleyRAT) rozšířili své operace i mimo Čínu a Tchaj-wan a zaměřili se na Japonsko a Malajsii. V těchto nedávných kampaních skupina šířila druhého trojského koně pro vzdálený přístup (RAT) identifikovaného jako HoldingHands (známý také jako Gh0stBins), který jako primární vektor využíval sociálně inženýrské phishingové dokumenty.

Jak se kampaň šíří

Útočníci šíří malware prostřednictvím phishingových e-mailů, které obsahují přílohy PDF s vloženými škodlivými odkazy. PDF soubory se vydávají za oficiální komunikaci – v některých případech se vydávají za dokumenty ministerstva financí – a obsahují více odkazů, z nichž pouze jeden vede ke stažení škodlivého souboru. V jiných případech je lákadlem webová stránka (například stránka v japonštině hostovaná na adrese URL jako „twsww[.]xin/download[.]html“), která vyzve oběti k načtení ZIP archivu obsahujícího soubor RAT.

Metody distribuce a atribuce

Winos 4.0 se běžně šíří prostřednictvím phishingových a SEO-poisoningových kampaní, které přesměrovávají oběti na falešné stránky pro stahování, jež se vydávají za legitimní software (mezi pozorované příklady patří padělané instalační programy pro Google Chrome, Telegram, Youdao, Sogou AI, WPS Office a DeepSeek). Bezpečnostní výzkumníci spojují používání Winosu s agresivním kyberzločineckým klastrem známým pod různými názvy, jako Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 a Void Arachne. V září 2025 výzkumníci informovali o tom, že tento aktér zneužil dříve nezdokumentovaný zranitelný ovladač dodávaný s produktem dodavatele s názvem WatchDog Anti-malware technikou BYOVD (Bring Your Own Vulnerable Driver) k deaktivaci ochrany koncových bodů. Dříve (srpen 2025) skupina použila SEO-poisoning k šíření modulů HiddenGh0st a Winos a červnové zprávy zdokumentovaly, že Silver Fox používal nastražené PDF soubory k vytvoření vícestupňových infekcí, které nakonec nasadily HoldingHands RAT. Mezi historické lákadla patří soubory Excel s daňovou tematikou používané proti Číně, které sahají až do března 2024; nedávné úsilí se přesunulo na phishingové vstupní stránky zaměřené na Malajsii.

Vícestupňová infekce a perzistence

Infekce obvykle začíná spustitelným souborem maskovaným jako audit spotřební daně nebo jiný oficiální dokument. Tento spustitelný soubor načte škodlivou knihovnu DLL, která funguje jako zavaděč shellcode pro datovou část s názvem „sw.dat“. Zavaděč provádí několik antianalytických a obranných akcí – kontroly virtuálních strojů, skenování spuštěných procesů na přítomnost známých bezpečnostních produktů a jejich ukončení, zvyšování oprávnění a deaktivaci Plánovače úloh systému Windows – než předá řízení dalším fázím.

Soubory pozorované při přenesení do systému:

  • svchost.ini – obsahuje RVA pro VirtualAlloc.
  • TimeBrokerClient.dll (legitimní soubor TimeBrokerClient.dll přejmenovaný na BrokerClientCallback.dll).
  • msvchost.dat — šifrovaný shell kód.
  • system.dat — zašifrovaný datový soubor.
  • wkscli.dll — nepoužitá/zástupná knihovna DLL.

Spouštěč plánovače úloh a nenápadná aktivace

Místo toho, aby se kampaň spoléhala na explicitní spuštění procesu, využívá chování Plánovače úloh systému Windows: Plánovač úloh běží jako služba pod svchost.exe a ve výchozím nastavení je nakonfigurován tak, aby se po selhání krátce restartoval. Malware pozměňuje soubory tak, že po restartu služby Plánovače úloh svchost.exe načte škodlivý soubor TimeBrokerClient.dll (přejmenovaný na BrokerClientCallback.dll). Tato knihovna DLL alokuje paměť pro zašifrovaný shellcode pomocí adresy VirtualAlloc uložené v souboru svchost.ini a poté způsobí, že soubor msvchost.dat dešifruje soubor system.dat a extrahuje datový soubor HoldingHands. Tato spouštěč „restart služby → načtení knihovny DLL“ snižuje potřebu přímého spuštění procesů a komplikuje detekci založenou na chování.

Eskalace oprávnění na TrustedInstaller

Aby zavaděč získal oprávnění potřebná k přejmenování a nahrazení chráněných systémových součástí (například k přejmenování originálního souboru TimeBrokerClient.dll), vydává se za systémové účty s vysokými oprávněními. Pozorovaná sekvence je následující:

  • Povolte SeDebugPrivilege pro přístup k procesu Winlogon a jeho tokenu.
  • Přijměte token Winlogon pro spuštění jako SYSTEM.
  • Z rozbalovací nabídky SYSTEM získejte kontext zabezpečení TrustedInstaller – účet používaný službou Windows Resource Protection k ochraně kritických souborů operačního systému.
  • Pomocí kontextu TrustedInstaller může malware upravovat chráněné soubory v adresáři C:\Windows\System32 (akce, která je obvykle omezena i pro administrátory).

Jak užitečné zatížení provádí a udržuje kontrolu

Škodlivá komponenta TimeBrokerClient alokuje paměť podle RVA v souboru svchost.ini, umístí tam dešifrovaný shellcode ze souboru msvchost.dat a spustí jej. Dešifrovaný obsah rozbalí HoldingHands, který poté naváže komunikaci se vzdáleným serverem velení a řízení (C2). Mezi pozorované schopnosti patří:

  • Odesílání informací o hostiteli do C2.
  • Odesílání zpráv o prezenčním signálu každých 60 sekund pro udržení provozu kanálu.
  • Příjem a provádění vzdálených příkazů (krádež dat, libovolné provádění příkazů, načítání dalších datových částí).
  • Přidaná funkce umožňující operátorovi aktualizovat adresu C2 prostřednictvím položky registru systému Windows.

Cílení, jazykové zaměření a pravděpodobný motiv

Nedávné vzorky a návnady naznačují zaměření na čínsky mluvící oběti, ačkoli geografický rozsah nyní zahrnuje Japonsko a Malajsii. Operační vzorce – průzkum, regionální cílení, nenápadné vytrvalostní útoky a modulární funkce zadních vrátek – poukazují na shromažďování zpravodajských informací v regionu, přičemž implantáty často zůstávají neaktivní do doby, než budou vydány další pokyny.

Shrnutí

Operátoři propojení se Silver Fox rozšířili aktivity Winos 4.0 a do své sady nástrojů přidali HoldingHands RAT. Používají přitom vybroušené sociální inženýrství (PDF a SEO-otrávené stránky) a sofistikovaný vícestupňový řetězec provádění, který zneužívá chování Plánovače úloh a oprávnění TrustedInstaller k přetrvání a vyhýbání se odhalení. Schopnosti a cílení operace naznačují cílené regionální úsilí o sběr zpravodajských informací s dlouhodobými, modulárními implantáty čekajícími na příkazy operátora.

Trendy

American Express - Pokus o přihlášení byl zablokován...

Phishing, Spam
Kyberzločinci často zneužívají známost důvěryhodných značek k nalákání nic netušících uživatelů k odhalení citlivých informací. Podvod „American Express – Pokus o přihlášení byl zablokován“ je ukázkovým příkladem této taktiky. Tyto e-maily napodobují bezpečnostní upozornění od společnosti American Express, tvrdí, že byl zablokován podezřelý pokus o přihlášení, a naléhají na příjemce, aby...

Nejvíce shlédnuto

Načítání...