Rabattilbud med flere licenser
Trusseldatabase Fjernadministrationsværktøjer Holdende hænder RAT

Holdende hænder RAT

Med Mezo i Fjernadministrationsværktøjer, Advanced Persistent Threat (APT)
Oversæt til:

Trusselaktørerne bag Winos 4.0-malwarefamilien (også sporet som ValleyRAT) har udvidet deres operationer ud over Kina og Taiwan til at målrette Japan og Malaysia. I disse nylige kampagner leverede gruppen en anden fjernadgangstrojan (RAT) identificeret som HoldingHands (også kendt som Gh0stBins) ved hjælp af socialt modificerede phishing-dokumenter som den primære vektor.

Hvordan kampagnen spreder sig

Angribere distribuerer malwaren via phishing-e-mails, der indeholder PDF-vedhæftninger med indlejrede ondsindede links. PDF-filerne udgiver sig for at være officiel kommunikation – i nogle tilfælde udgiver de sig for at være dokumenter fra Finansministeriet – og indeholder flere links, hvoraf kun ét fører til den ondsindede download. I andre tilfælde er lokkemidlet en webside (for eksempel en japansksproget side, der hostes på en URL som 'twsww[.]xin/download[.]html'), der beder ofrene om at hente et ZIP-arkiv, der indeholder RAT-filen.

Distribueringsmetoder og tilskrivning

Winos 4.0 spredes almindeligvis via phishing- og SEO-forgiftningskampagner, der omdirigerer ofre til falske downloadsider, der udgiver sig for at være legitim software (eksempler observeret inkluderer forfalskede installationsprogrammer til Google Chrome, Telegram, Youdao, Sogou AI, WPS Office og DeepSeek). Sikkerhedsforskere forbinder brugen af Winos med en aggressiv cyberkriminel klynge kendt som Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 og Void Arachne. I september 2025 rapporterede forskere, at denne aktør misbrugte en tidligere udokumenteret sårbar driver bundtet med et leverandørprodukt kaldet WatchDog Anti-malware i en BYOVD (Bring Your Own Vulnerable Driver) teknik til at deaktivere endpoint-beskyttelse. Tidligere (august 2025) anvendte gruppen SEO-forgiftning til at sprede HiddenGh0st- og Winos-moduler, og i juni rapporterede de, at Silver Fox brugte fældede PDF'er til at iscenesætte flertrinsinfektioner, der i sidste ende implementerede HoldingHands RAT. Historiske lokkemidler inkluderer skatte-tema Excel-filer, der blev brugt mod Kina helt tilbage til marts 2024; den seneste tid er blevet fokuseret på phishing-landingsider målrettet mod Malaysia.

Flerstadieinfektion og persistens

Infektionen starter typisk med en eksekverbar fil, der udgiver sig for at være en punktafgiftsrevision eller et andet officielt dokument. Denne eksekverbare fil sideloader en ondsindet DLL, der fungerer som en shellcode-loader for en nyttelast ved navn 'sw.dat'. Loaderen udfører adskillige anti-analyse- og defensive handlinger – anti-VM-kontroller, scanning af kørende processer for kendte sikkerhedsprodukter og afslutning af dem, eskalering af rettigheder og deaktivering af Windows Task Scheduler – før kontrollen overdrages til efterfølgende faser.

Observerede filer, der er blevet slettet i systemet:

  • svchost.ini — indeholder RVA'en til VirtualAlloc.
  • TimeBrokerClient.dll (den legitime TimeBrokerClient.dll omdøbt til BrokerClientCallback.dll).
  • msvchost.dat - krypteret shellcode.
  • system.dat — krypteret nyttelast.
  • wkscli.dll — ubrugt/pladsholder-DLL.

Opgaveplanlægger-udløser og skjult aktivering

I stedet for at stole på en eksplicit processtart udnytter kampagnen Windows Task Scheduler-adfærden: Task Scheduler kører som en tjeneste under svchost.exe og er som standard konfigureret til at genstarte kort efter fejl. Malwaren ændrer filer, så når Task Scheduler-tjenesten genstarter, indlæser svchost.exe den skadelige TimeBrokerClient.dll (omdøbt til BrokerClientCallback.dll). Denne DLL allokerer hukommelse til den krypterede shellcode ved hjælp af VirtualAlloc-adressen, der er gemt i svchost.ini, og får derefter msvchost.dat til at dekryptere system.dat og udpakke HoldingHands-nyttelasten. Denne 'tjenestegenstart → DLL-indlæsning'-udløser reducerer behovet for direkte procesudførelse og komplicerer adfærdsbaseret detektion.

Privilegieeskalering til TrustedInstaller

For at opnå de nødvendige tilladelser til at omdøbe og erstatte beskyttede systemkomponenter (f.eks. omdøbe den ægte TimeBrokerClient.dll), efterligner indlæseren systemkonti med høje rettigheder. Den observerede sekvens er:

  • Aktiver SeDebugPrivilege for at få adgang til Winlogon-processen og dens token.
  • Antag Winlogon-tokenet til at køre som SYSTEM.
  • Hent en TrustedInstaller-sikkerhedskontekst fra SYSTEM – den konto, der bruges af Windows Resource Protection til at beskytte kritiske OS-filer.
  • Ved hjælp af TrustedInstaller-konteksten kan malwaren ændre beskyttede filer i C:\Windows\System32 (en handling, der normalt er begrænset, selv for administratorer).

Hvordan nyttelasten udfører og opretholder kontrol

Den ondsindede TimeBrokerClient-komponent allokerer hukommelse i henhold til RVA'en i svchost.ini, placerer den dekrypterede shellcode fra msvchost.dat der og kører den. Den dekrypterede nyttelast udpakker HoldingHands, som derefter etablerer kommunikation med en fjernkommando-og-kontrol (C2)-server. Observerede funktioner omfatter:

  • Sender værtsinformation til C2.
  • Sender hjerteslagsbeskeder hvert 60. sekund for at holde kanalen i live.
  • Modtagelse og udførelse af fjernkommandoer (datatyveri, vilkårlig kommandoudførelse, hentning af yderligere nyttelast).
  • En ekstra funktion, der giver operatøren mulighed for at opdatere C2-adressen via en post i Windows-registreringsdatabasen.

Målretning, sprogfokus og sandsynligt motiv

Nylige prøver og lokkemidler indikerer et fokus på kinesisksprogede ofre, selvom det geografiske område nu omfatter Japan og Malaysia. De operationelle mønstre - rekognoscering, regional målretning, skjult vedholdenhed og modulær bagdørsfunktionalitet - peger på indsamling af efterretninger i regionen, hvor implantater ofte lades inaktive i afventning af yderligere instruktioner.

Oversigt

Operatører med tilknytning til Silver Fox har udvidet Winos 4.0-aktiviteten og tilføjet HoldingHands RAT til deres værktøjssæt ved hjælp af poleret social engineering (PDF'er og SEO-forgiftede sider) og en sofistikeret flertrinsudførelseskæde, der misbruger Task Scheduler-adfærd og TrustedInstaller-rettigheder til at bevare og undgå detektion. Operationens muligheder og målretning antyder en fokuseret regional efterretningsindsamlingsindsats med langvarige, modulære implantater, der venter på operatørkommandoer.

Trending

Mest sete

Indlæser...