Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Kaughaldustööriistad HoldingHands RAT

HoldingHands RAT

Aastaks Mezo aastal Kaughaldustööriistad, Täiustatud püsiv oht (APT)
Tõlgi:

Winos 4.0 pahavaraperekonna (mida jälgitakse ka kui ValleyRAT) taga olevad ohutegijad on laiendanud oma tegevust Hiinast ja Taiwanist kaugemale, sihikule võttes Jaapanit ja Malaisiat. Nende hiljutiste kampaaniate käigus levitas rühmitus teist kaugjuurdepääsuga troojat (RAT), mis identifitseeriti kui HoldingHands (tuntud ka kui Gh0stBins), kasutades peamise vektorina sotsiaalselt manipuleeritud andmepüügidokumente.

Kuidas kampaania levib

Ründajad levitavad pahavara andmepüügimeilide kaudu, mis sisaldavad PDF-manuseid pahatahtlike linkidega. PDF-failid jäljendavad ametlikke teateid – mõnel juhul teesklevad nad rahandusministeeriumi dokumentidena – ja sisaldavad mitut linki, millest ainult üks viib pahatahtliku allalaadimiseni. Teistel juhtudel on peibutis veebileht (näiteks jaapani keeles leht, mis asub URL-il „twsww[.]xin/download[.]html”), mis palub ohvritel hankida RAT-i sisaldava ZIP-arhiivi.

Levitamismeetodid ja omistamine

Winos 4.0 levib tavaliselt andmepüügi ja SEO-mürgitamise kampaaniate kaudu, mis suunavad ohvrid võltsitud allalaadimislehtedele, mis teesklevad end legitiimse tarkvarana (näidete hulka kuuluvad võltsitud installijad Google Chrome'ile, Telegramile, Youdaole, Sogou AI-le, WPS Office'ile ja DeepSeekile). Turvauurijad seostavad Winos'e kasutamist agressiivse küberkurjategijate klastriga, mida tuntakse erinevalt kui Silver Fox, SwimSnake, Valley Thief (Valley suur varas), UTG-Q-1000 ja Void Arachne. 2025. aasta septembris teatasid teadlased, et see tegelaskuju kuritarvitas varem dokumenteerimata haavatavat draiverit, mis oli komplekteeritud müüja tootega WatchDog Anti-malware, BYOVD (Bring Your Own Vulnerable Driver) tehnikas, et keelata lõpp-punkti kaitse. Varem (augustis 2025) kasutas rühmitus SEO-mürgitamist HiddenGh0st ja Winos moodulite levitamiseks ning juunis teatati, et Silver Fox kasutas lõksudega PDF-faile mitmeastmeliste infektsioonide lavastamiseks, mis lõpuks kasutasid HoldingHands RAT-i. Ajalooliste peibutiste hulka kuuluvad Hiina vastu kasutatud maksuteemalised Exceli failid alates 2024. aasta märtsist; hiljutised pingutused on suunatud Malaisiale suunatud andmepüügilehtedele.

Mitmeastmeline infektsioon ja püsivus

Nakatumine algab tavaliselt käivitatava failiga, mis maskeerub aktsiisiauditiks või muuks ametlikuks dokumendiks. See käivitatav fail laadib pahatahtliku DLL-i, mis toimib kestakoodi laadurina kasulikule failile nimega 'sw.dat'. Laadija teeb enne kontrolli andmist järgmistele etappidele mitmeid analüüsivastaseid ja kaitsetoiminguid – virtuaalmasinate vastaseid kontrolle, töötavate protsesside skannimist teadaolevate turvatoodete suhtes ja nende peatamist, õiguste eskaleerimist ja Windowsi ülesannete ajastaja keelamist.

Süsteemi langenud failid:

  • svchost.ini – sisaldab VirtualAlloci RVA-d.
  • TimeBrokerClient.dll (õigustatud TimeBrokerClient.dll on ümber nimetatud BrokerClientCallback.dll-iks).
  • msvchost.dat — krüptitud shellkood.
  • system.dat — krüpteeritud kasulik koormus.
  • wkscli.dll — kasutamata/kohatäide DLL.

Ülesannete ajakava käivitaja ja salajane aktiveerimine

Selle asemel, et loota otsesele protsessi käivitamisele, kasutab kampaania ära Windowsi toiminguajasti käitumist: toiminguajasti töötab teenusena svchost.exe all ja on vaikimisi konfigureeritud taaskäivitama varsti pärast riket. Pahavara muudab faile nii, et toiminguajasti teenuse taaskäivitamisel laadib svchost.exe pahatahtliku TimeBrokerClient.dll (ümbernimetatud BrokerClientCallback.dll). See DLL eraldab krüptitud kestakoodile mälu, kasutades svchost.ini failis talletatud VirtualAlloc aadressi, seejärel paneb msvchost.dat faili system.dat dekrüpteerima ja HoldingHands'i kasuliku sisu ekstraheerima. See „teenuse taaskäivitamine → DLL-i laadimine” päästik vähendab vajadust protsesside otsese käivitamise järele ja raskendab käitumispõhist tuvastamist.

Õiguste eskaleerimine TrustedInstallerile

Kaitstud süsteemikomponentide ümbernimetamiseks ja asendamiseks vajalike õiguste saamiseks (näiteks ehtsa TimeBrokerClient.dll ümbernimetamiseks) jäljendab laadur kõrge privileegiga süsteemikontosid. Täheldatud jada on järgmine:

  • Luba SeDebugPrivilege'il pääseda juurde Winlogoni protsessile ja selle märgile.
  • Võta Winlogoni tunnus (Token) kasutusele, et see töötaks süsteemina (SYSTEM).
  • Hankige süsteemist TrustedInstalleri turbekontekst – konto, mida Windows Resource Protection kasutab kriitiliste operatsioonisüsteemi failide kaitsmiseks.
  • Selle TrustedInstalleri konteksti abil saab pahavara muuta kaitstud faile kaustas C:\Windows\System32 (toiming, mis on tavaliselt isegi administraatoritele keelatud).

Kuidas kasulik koormus täidab ja säilitab kontrolli

Pahatahtlik TimeBrokerClient komponent eraldab mälu vastavalt RVA-le failis svchost.ini, paigutab sinna msvchost.dat failist dekrüpteeritud koodi ja käivitab selle. Dekrüpteeritud koormus pakib lahti HoldingHandsi, mis seejärel loob ühenduse kaugjuhtimispuldi (C2) serveriga. Täheldatud võimete hulka kuuluvad:

  • Hostiteabe saatmine C2-le.
  • Kanali elushoidmiseks saadetakse südamelöökide sõnumeid iga 60 sekundi järel.
  • Kaugkäskluste vastuvõtmine ja täitmine (andmete vargus, suvaline käskude täitmine, täiendavate kasulike koormuste hankimine).
  • Lisatud funktsioon, mis võimaldab operaatoril C2 aadressi Windowsi registrikirje kaudu värskendada.

Sihtimine, keelekesksus ja tõenäoline motiiv

Hiljutised näidised ja peibutised viitavad keskendumisele hiinakeelsetele ohvritele, kuigi geograafiline ulatus hõlmab nüüd Jaapanit ja Malaisiat. Operatiivsed mustrid – luure, piirkondlik sihtimine, hiilimine ja modulaarne tagaukse funktsionaalsus – viitavad luureandmete kogumisele piirkonnas, kusjuures implantaadid jäetakse sageli edasiste juhiste ootamiseks ootele.

Kokkuvõte

Silver Foxiga seotud operaatorid on laiendanud Winos 4.0 tegevust ja lisanud oma tööriistakomplekti HoldingHands RATi, kasutades lihvitud sotsiaalset manipuleerimist (PDF-id ja SEO-ga saastatud lehed) ning keerukat mitmeastmelist täitmisahelat, mis kuritarvitab ülesannete ajastaja käitumist ja TrustedInstalleri õigusi, et jääda püsima ja avastamist vältida. Operatsiooni võimekus ja sihtimine viitavad sihipärasele piirkondlikule luureandmete kogumisele, kasutades pikaealisi, modulaarseid implantaate, mis ootavad operaatori käske.

Trendikas

American Express - sisselogimiskatse blokeeriti...

Andmepüük, Rämpspost
Küberkurjategijad kasutavad sageli ära usaldusväärsete kaubamärkide tuntust, et meelitada pahaaimamatuid kasutajaid tundlikku teavet avaldama. Pettus „American Express – sisselogimiskatse blokeeriti” on selle taktika parim näide. Need meilid imiteerivad American Expressi turvahoiatusi, väites, et kahtlane sisselogimiskatse blokeeriti, ja kutsudes saajat üles viivitamatult tegutsema. On oluline...

Enim vaadatud

Laadimine...