Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Εργαλεία απομακρυσμένης διαχείρισης Κρατώντας τα χέρια RAT

Κρατώντας τα χέρια RAT

Μέχρι το Mezo το Εργαλεία απομακρυσμένης διαχείρισης, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Οι απειλητικοί παράγοντες πίσω από την οικογένεια κακόβουλου λογισμικού Winos 4.0 (που παρακολουθείται επίσης ως ValleyRAT) έχουν επεκτείνει τις δραστηριότητές τους πέρα από την Κίνα και την Ταϊβάν, στοχεύοντας την Ιαπωνία και τη Μαλαισία. Σε αυτές τις πρόσφατες εκστρατείες, η ομάδα παρέδωσε ένα δεύτερο trojan απομακρυσμένης πρόσβασης (RAT) που αναγνωρίστηκε ως HoldingHands (γνωστό και ως Gh0stBins), χρησιμοποιώντας ως κύριο φορέα έγγραφα ηλεκτρονικού "ψαρέματος" (phishing).

Πώς εξαπλώνεται η καμπάνια

Οι εισβολείς διανέμουν το κακόβουλο λογισμικό μέσω email ηλεκτρονικού "ψαρέματος" (phishing) που περιλαμβάνουν συνημμένα PDF με ενσωματωμένους κακόβουλους συνδέσμους. Τα PDF μιμούνται επίσημες επικοινωνίες — σε ορισμένες περιπτώσεις, παρουσιάζονται ως έγγραφα του Υπουργείου Οικονομικών — και περιέχουν πολλαπλούς συνδέσμους, εκ των οποίων μόνο ένας οδηγεί στην κακόβουλη λήψη. Σε άλλα περιστατικά, το δόλωμα είναι μια ιστοσελίδα (για παράδειγμα, μια σελίδα στα Ιαπωνικά που φιλοξενείται σε μια διεύθυνση URL όπως 'twsww[.]xin/download[.]html') που ζητά από τα θύματα να ανακτήσουν ένα αρχείο ZIP που περιέχει το RAT.

Μέθοδοι Διανομής και Απόδοση

Το Winos 4.0 διαδίδεται συνήθως μέσω καμπανιών ηλεκτρονικού "ψαρέματος" (phishing) και SEO-poisoning που ανακατευθύνουν τα θύματα σε ψεύτικες σελίδες λήψης που παρουσιάζονται ως νόμιμο λογισμικό (παραδείγματα που παρατηρούνται περιλαμβάνουν πλαστά προγράμματα εγκατάστασης για Google Chrome, Telegram, Youdao, Sogou AI, WPS Office και DeepSeek). Οι ερευνητές ασφαλείας συνδέουν τη χρήση του Winos με ένα επιθετικό σύμπλεγμα κυβερνοεγκλημάτων γνωστό με διάφορες ονομασίες: Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 και Void Arachne. Τον Σεπτέμβριο του 2025, ερευνητές ανέφεραν ότι αυτός ο δράστης έκανε κατάχρηση ενός προηγουμένως μη καταγεγραμμένου ευάλωτου προγράμματος οδήγησης που συνοδευόταν από ένα προϊόν προμηθευτή που ονομάζεται WatchDog Anti-malware σε μια τεχνική BYOVD (Bring Your Own Vulnerable Driver) για να απενεργοποιήσει την προστασία τελικού σημείου. Νωρίτερα (Αύγουστος 2025), η ομάδα χρησιμοποίησε το SEO poisoning για να διαδώσει τις μονάδες HiddenGh0st και Winos, και οι αναφορές του Ιουνίου κατέγραψαν το Silver Fox χρησιμοποιώντας PDF με παγίδες για να οργανώσει μολύνσεις πολλαπλών βημάτων που τελικά ανέπτυξαν το HoldingHands RAT. Στα ιστορικά δολώματα περιλαμβάνονται αρχεία Excel με θέμα τη φορολογία που χρησιμοποιήθηκαν εναντίον της Κίνας από τον Μάρτιο του 2024. Οι πρόσφατες προσπάθειες στράφηκαν σε σελίδες προορισμού ηλεκτρονικού "ψαρέματος" (phishing) που στοχεύουν τη Μαλαισία.

Πολυσταδιακή μόλυνση και επιμονή

Η μόλυνση συνήθως ξεκινά με ένα εκτελέσιμο αρχείο που μεταμφιέζεται σε έλεγχο ειδικών φόρων κατανάλωσης ή άλλο επίσημο έγγραφο. Αυτό το εκτελέσιμο αρχείο φορτώνει ένα κακόβουλο DLL, το οποίο λειτουργεί ως φορτωτής shellcode για ένα payload με όνομα 'sw.dat'. Ο φορτωτής εκτελεί διάφορες ενέργειες κατά της ανάλυσης και άμυνας — ελέγχους κατά της εικονικής μηχανής (VM), σάρωση διεργασιών που εκτελούνται για γνωστά προϊόντα ασφαλείας και τερματισμό τους, κλιμάκωση δικαιωμάτων και απενεργοποίηση του Χρονοδιαγράμματος εργασιών των Windows — πριν παραδώσει τον έλεγχο στα επόμενα στάδια.

Αρχεία που παρατηρήθηκαν και έπεσαν στο σύστημα:

  • svchost.ini — περιέχει το RVA για το VirtualAlloc.
  • TimeBrokerClient.dll (το νόμιμο TimeBrokerClient.dll μετονομάστηκε σε BrokerClientCallback.dll).
  • msvchost.dat — κρυπτογραφημένος κώδικας κελύφους.
  • system.dat — κρυπτογραφημένο ωφέλιμο φορτίο.
  • wkscli.dll — αχρησιμοποίητο/placeholder DLL.

Ενεργοποίηση Χρονοδιαγράμματος Εργασιών και Αόρατη Ενεργοποίηση

Αντί να βασίζεται σε μια ρητή εκκίνηση διεργασίας, η καμπάνια αξιοποιεί τη συμπεριφορά του Χρονοδιαγράμματος Εργασιών των Windows: Το Χρονοδιάγραμμα Εργασιών εκτελείται ως υπηρεσία στο svchost.exe και από προεπιλογή έχει ρυθμιστεί να επανεκκινείται λίγο μετά την αποτυχία. Το κακόβουλο λογισμικό τροποποιεί τα αρχεία έτσι ώστε όταν επανεκκινείται η υπηρεσία Χρονοδιαγράμματος Εργασιών, το svchost.exe φορτώνει το κακόβουλο TimeBrokerClient.dll (μετονομασμένο σε BrokerClientCallback.dll). Αυτό το DLL εκχωρεί μνήμη για τον κρυπτογραφημένο κώδικα shell χρησιμοποιώντας τη διεύθυνση VirtualAlloc που είναι αποθηκευμένη στο svchost.ini και, στη συνέχεια, προκαλεί το msvchost.dat να αποκρυπτογραφήσει το system.dat και να εξαγάγει το ωφέλιμο φορτίο HoldingHands. Αυτή η ενεργοποίηση 'επανεκκίνηση υπηρεσίας → φόρτωση DLL' μειώνει την ανάγκη για άμεση εκτέλεση διεργασίας και περιπλέκει την ανίχνευση που βασίζεται στη συμπεριφορά.

Προνόμια κλιμάκωσης στο TrustedInstaller

Για να αποκτήσει τα απαραίτητα δικαιώματα για τη μετονομασία και αντικατάσταση προστατευμένων στοιχείων συστήματος (για παράδειγμα, μετονομασία του γνήσιου TimeBrokerClient.dll), το πρόγραμμα φόρτωσης μιμείται λογαριασμούς συστήματος με υψηλά δικαιώματα. Η ακολουθία που παρατηρείται είναι:

  • Ενεργοποιήστε το SeDebugPrivilege για πρόσβαση στη διεργασία Winlogon και το διακριτικό της.
  • Υιοθετήστε το διακριτικό Winlogon για να εκτελεστεί ως SYSTEM.
  • Από το SYSTEM, αποκτήστε ένα περιβάλλον ασφαλείας TrustedInstaller — τον λογαριασμό που χρησιμοποιείται από την Προστασία πόρων των Windows για την προστασία κρίσιμων αρχείων λειτουργικού συστήματος.
  • Χρησιμοποιώντας αυτό το περιβάλλον TrustedInstaller, το κακόβουλο λογισμικό μπορεί να τροποποιήσει προστατευμένα αρχεία στο C:\Windows\System32 (μια ενέργεια που συνήθως περιορίζεται ακόμη και για διαχειριστές).

Πώς εκτελείται και διατηρεί τον έλεγχο το ωφέλιμο φορτίο

Το κακόβουλο στοιχείο TimeBrokerClient εκχωρεί μνήμη ανά RVA στο svchost.ini, τοποθετεί εκεί τον αποκρυπτογραφημένο κώδικα shellcode από το msvchost.dat και τον εκτελεί. Το αποκρυπτογραφημένο ωφέλιμο φορτίο αποσυμπιέζει το HoldingHands, το οποίο στη συνέχεια δημιουργεί επικοινωνίες με έναν διακομιστή απομακρυσμένης εντολής και ελέγχου (C2). Οι παρατηρούμενες δυνατότητες περιλαμβάνουν:

  • Αποστολή πληροφοριών κεντρικού υπολογιστή στο C2.
  • Στέλνω μηνύματα καρδιακού παλμού κάθε 60 δευτερόλεπτα για να διατηρώ το κανάλι ζωντανό.
  • Λήψη και εκτέλεση απομακρυσμένων εντολών (κλοπή δεδομένων, αυθαίρετη εκτέλεση εντολών, ανάκτηση πρόσθετων ωφέλιμων φορτίων).
  • Μια πρόσθετη λειτουργία που επιτρέπει στον χειριστή να ενημερώνει τη διεύθυνση C2 μέσω μιας καταχώρησης μητρώου των Windows.

Στόχευση, Εστίαση στη Γλώσσα και Πιθανό Κίνητρο

Πρόσφατα δείγματα και δολώματα υποδεικνύουν μια εστίαση σε θύματα που μιλούν κινέζικα, αν και το γεωγραφικό πεδίο εφαρμογής περιλαμβάνει πλέον την Ιαπωνία και τη Μαλαισία. Τα επιχειρησιακά πρότυπα - αναγνώριση, περιφερειακή στόχευση, μυστική επιμονή και λειτουργικότητα αρθρωτού backdoor - υποδεικνύουν τη συλλογή πληροφοριών στην περιοχή, με τα εμφυτεύματα να μένουν συχνά αδρανή εν αναμονή περαιτέρω οδηγιών.

Περίληψη

Οι χειριστές που συνδέονται με την Silver Fox έχουν επεκτείνει τη δραστηριότητα του Winos 4.0 και έχουν προσθέσει το HoldingHands RAT στο σύνολο εργαλείων τους, χρησιμοποιώντας βελτιωμένη κοινωνική μηχανική (PDF και σελίδες με δηλητηρίαση SEO) και μια εξελιγμένη αλυσίδα εκτέλεσης πολλαπλών σταδίων που καταχράται τη συμπεριφορά του Χρονοδιαγράμματος Εργασιών και τα προνόμια του TrustedInstaller για να επιμένει και να αποφεύγει την ανίχνευση. Οι δυνατότητες και η στόχευση της επιχείρησης υποδηλώνουν μια στοχευμένη περιφερειακή προσπάθεια συλλογής πληροφοριών με μακροχρόνια, αρθρωτά εμφυτεύματα που περιμένουν εντολές χειριστή.

Τάσεις

American Express - Απάτη που Αποκλείστηκε από την...

Phishing, Ανεπιθύμητη αλληλογραφία
Οι κυβερνοεγκληματίες συχνά εκμεταλλεύονται την εξοικείωση με αξιόπιστες μάρκες για να παρασύρουν ανυποψίαστους χρήστες να αποκαλύψουν ευαίσθητες πληροφορίες. Η απάτη «American Express - Η προσπάθεια σύνδεσης αποκλείστηκε» είναι ένα χαρακτηριστικό παράδειγμα αυτής της τακτικής. Αυτά τα email μιμούνται ειδοποιήσεις ασφαλείας από την American Express, ισχυριζόμενοι ότι μια ύποπτη προσπάθεια...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
33,536
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...