قیمت چند مجوز تخفیف
پایگاه داده تهدید ابزارهای مدیریت از راه دور HoldingHands RAT

HoldingHands RAT

تا Mezo در ابزارهای مدیریت از راه دور, تهدید مداوم پیشرفته (APT)
ترجمه به:

عوامل تهدید پشت پرده خانواده بدافزار Winos 4.0 (که با نام ValleyRAT نیز شناخته می‌شود) عملیات خود را فراتر از چین و تایوان گسترش داده‌اند و ژاپن و مالزی را هدف قرار داده‌اند. در این پویش‌های اخیر، این گروه یک تروجان دسترسی از راه دور (RAT) دوم به نام HoldingHands (معروف به Gh0stBins) را با استفاده از اسناد فیشینگ مهندسی اجتماعی به عنوان عامل اصلی، توزیع کرده‌اند.

چگونگی گسترش کمپین

مهاجمان این بدافزار را از طریق ایمیل‌های فیشینگ که شامل پیوست‌های PDF با لینک‌های مخرب جاسازی‌شده هستند، توزیع می‌کنند. این فایل‌های PDF ارتباطات رسمی را جعل می‌کنند - در برخی موارد، خود را به عنوان اسناد وزارت دارایی جا می‌زنند - و حاوی چندین لینک هستند که تنها یکی از آنها منجر به دانلود مخرب می‌شود. در موارد دیگر، طعمه یک صفحه وب است (به عنوان مثال، یک صفحه به زبان ژاپنی که با URL مانند 'twsww[.]xin/download[.]html' میزبانی می‌شود) که قربانیان را به دریافت یک آرشیو ZIP حاوی RAT ترغیب می‌کند.

روش‌های توزیع و انتساب

Winos 4.0 معمولاً از طریق کمپین‌های فیشینگ و مسمومیت سئو منتشر می‌شود که قربانیان را به صفحات دانلود جعلی که به عنوان نرم‌افزار قانونی ظاهر می‌شوند، هدایت می‌کند (نمونه‌های مشاهده شده شامل نصب‌کننده‌های تقلبی برای Google Chrome، Telegram، Youdao، Sogou AI، WPS Office و DeepSeek است). محققان امنیتی استفاده از Winos را به یک خوشه مجرمان سایبری تهاجمی که با نام‌های مختلفی مانند Silver Fox، SwimSnake، Valley Thief (The Great Thief of Valley)، UTG-Q-1000 و Void Arachne شناخته می‌شوند، مرتبط می‌دانند. در سپتامبر 2025، محققان گزارش دادند که این عامل از یک درایور آسیب‌پذیر که قبلاً مستند نشده بود و همراه با یک محصول فروشنده به نام WatchDog Anti-malware در یک تکنیک BYOVD (Driver Vulnerable Your Own) برای غیرفعال کردن محافظت از نقطه پایانی استفاده می‌کرد، سوءاستفاده می‌کرد. پیش از این (آگوست 2025)، این گروه از مسمومیت سئو برای پخش ماژول‌های HiddenGh0st و Winos استفاده کرده بود و گزارش ماه ژوئن مستند کرد که Silver Fox از PDFهای تله‌گذاری شده برای ایجاد آلودگی‌های چند مرحله‌ای استفاده می‌کند که در نهایت HoldingHands RAT را مستقر می‌کند. از جمله طعمه‌های قدیمی می‌توان به فایل‌های اکسل با موضوع مالیات که از مارس ۲۰۲۴ علیه چین استفاده شده بود، اشاره کرد؛ تلاش‌های اخیر به صفحات فرود فیشینگ با هدف قرار دادن مالزی معطوف شده است.

عفونت چند مرحله‌ای و ماندگاری

این آلودگی معمولاً با یک فایل اجرایی که خود را به عنوان یک حسابرسی غیر مستقیم یا سند رسمی دیگر جا می‌زند، آغاز می‌شود. این فایل اجرایی، یک DLL مخرب را به صورت جانبی بارگذاری می‌کند که به عنوان یک بارگذار shellcode برای یک payload به نام 'sw.dat' عمل می‌کند. این بارگذار قبل از اینکه کنترل را به مراحل بعدی واگذار کند، چندین اقدام ضد تحلیلی و دفاعی انجام می‌دهد - بررسی‌های ضد ماشین مجازی، اسکن فرآیندهای در حال اجرا برای یافتن محصولات امنیتی شناخته شده و خاتمه دادن به آنها، افزایش سطح دسترسی و غیرفعال کردن Windows Task Scheduler.

فایل‌های مشاهده‌شده در سیستم رها شده‌اند:

  • svchost.ini - شامل آدرس مجازی مجازی مجازی (RVA) برای VirtualAlloc است.
  • TimeBrokerClient.dll (فایل اصلی TimeBrokerClient.dll به BrokerClientCallback.dll تغییر نام داده شده است).
  • msvchost.dat - کد پوسته رمزگذاری شده.
  • system.dat — فایل رمزگذاری شده‌ی انتقال داده.
  • wkscli.dll — فایل DLL استفاده نشده/جایگزین.

فعال‌سازی مخفیانه و فعال‌سازی زمان‌بندی وظایف

این کمپین به جای تکیه بر راه‌اندازی صریح فرآیند، از رفتار Windows Task Scheduler استفاده می‌کند: Task Scheduler به عنوان یک سرویس تحت svchost.exe اجرا می‌شود و به طور پیش‌فرض طوری پیکربندی شده است که کمی پس از خرابی مجدداً راه‌اندازی شود. این بدافزار فایل‌ها را تغییر می‌دهد به طوری که وقتی سرویس Task Scheduler مجدداً راه‌اندازی می‌شود، svchost.exe فایل مخرب TimeBrokerClient.dll (که به BrokerClientCallback.dll تغییر نام داده است) را بارگذاری می‌کند. این DLL با استفاده از آدرس VirtualAlloc ذخیره شده در svchost.ini، حافظه را برای shellcode رمزگذاری شده اختصاص می‌دهد، سپس باعث می‌شود msvchost.dat فایل system.dat را رمزگشایی کرده و payload مربوط به HoldingHands را استخراج کند. این محرک «راه‌اندازی مجدد سرویس → بارگذاری DLL» نیاز به اجرای مستقیم فرآیند را کاهش می‌دهد و تشخیص مبتنی بر رفتار را پیچیده می‌کند.

افزایش امتیاز به TrustedInstaller

برای به دست آوردن مجوزهای لازم برای تغییر نام و جایگزینی اجزای سیستم محافظت‌شده (برای مثال، تغییر نام TimeBrokerClient.dll اصلی)، لودر حساب‌های سیستمی با امتیاز بالا را جعل می‌کند. توالی مشاهده‌شده به شرح زیر است:

  • برای دسترسی به فرآیند Winlogon و توکن آن، SeDebugPrivilege را فعال کنید.
  • توکن Winlogon را برای اجرا به عنوان SYSTEM اتخاذ کنید.
  • از SYSTEM، یک زمینه امنیتی TrustedInstaller را دریافت کنید - حسابی که توسط Windows Resource Protection برای محافظت از فایل‌های حیاتی سیستم عامل استفاده می‌شود.
  • با استفاده از آن محتوای TrustedInstaller، بدافزار می‌تواند فایل‌های محافظت‌شده در مسیر C:\Windows\System32 را تغییر دهد (عملی که معمولاً حتی برای مدیران سیستم نیز محدود شده است).

نحوه اجرا و حفظ کنترل توسط Payload

مؤلفه‌ی مخرب TimeBrokerClient حافظه را به ازای هر RVA در svchost.ini اختصاص می‌دهد، shellcode رمزگشایی‌شده از msvchost.dat را در آنجا قرار می‌دهد و آن را اجرا می‌کند. payload رمزگشایی‌شده، HoldingHands را از حالت فشرده خارج می‌کند، که سپس با یک سرور فرمان و کنترل از راه دور (C2) ارتباط برقرار می‌کند. قابلیت‌های مشاهده‌شده عبارتند از:

  • ارسال اطلاعات میزبان به C2.
  • ارسال پیام‌های ضربان قلب هر ۶۰ ثانیه برای زنده نگه داشتن کانال.
  • دریافت و اجرای دستورات از راه دور (سرقت داده‌ها، اجرای دستورات دلخواه، دریافت فایل‌های مخرب اضافی).
  • یک ویژگی اضافه شده که به اپراتور اجازه می‌دهد آدرس C2 را از طریق یک ورودی رجیستری ویندوز به‌روزرسانی کند.

هدف‌گیری، تمرکز زبانی و انگیزه احتمالی

نمونه‌ها و طعمه‌های اخیر نشان می‌دهد که تمرکز بر قربانیان چینی‌زبان است، اگرچه دامنه جغرافیایی اکنون شامل ژاپن و مالزی نیز می‌شود. الگوهای عملیاتی - شناسایی، هدف‌گیری منطقه‌ای، پایداری مخفیانه و قابلیت در پشتی ماژولار - به جمع‌آوری اطلاعات در منطقه اشاره دارند، و ایمپلنت‌ها اغلب در انتظار دستورالعمل‌های بیشتر غیرفعال می‌مانند.

خلاصه

اپراتورهای مرتبط با Silver Fox فعالیت Winos 4.0 را گسترش داده و HoldingHands RAT را به مجموعه ابزارهای خود اضافه کرده‌اند. این کار با استفاده از مهندسی اجتماعی دقیق (فایل‌های PDF و صفحات آلوده به سئو) و یک زنجیره اجرای چند مرحله‌ای پیچیده انجام می‌شود که از رفتار Task Scheduler و امتیازات TrustedInstaller برای ادامه فعالیت و فرار از شناسایی سوءاستفاده می‌کند. قابلیت‌ها و هدف‌گیری این عملیات نشان می‌دهد که یک تلاش متمرکز برای جمع‌آوری اطلاعات منطقه‌ای با ایمپلنت‌های ماژولار و بادوام در انتظار دستورات اپراتور وجود دارد.

پرطرفدار

TechBrowser

بدافزار مک, ابزارهای تبلیغاتی مزاحم, برنامه های بالقوه ناخواسته
پس از ارزیابی محققان امنیت اطلاعات، اپلیکیشن TechBrowser در دسته ابزارهای تبلیغاتی مزاحم قرار می گیرد. این طبقه بندی بر اساس توانایی آن در نمایش تبلیغات سرزده است. علاوه بر این، نگرانی‌هایی در مورد...

کلاهبرداری American Express - تلاش برای ورود مسدود شد

فیشینگ, هرزنامه
مجرمان سایبری اغلب از آشنایی با برندهای معتبر سوءاستفاده می‌کنند تا کاربران ناآگاه را به افشای اطلاعات حساس ترغیب کنند. کلاهبرداری «American Express - تلاش برای ورود مسدود شد» نمونه بارز این تاکتیک است. این ایمیل‌ها هشدارهای امنیتی American Express را جعل می‌کنند و ادعا می‌کنند که یک تلاش مشکوک برای ورود مسدود شده است و از گیرنده می‌خواهند که فوراً اقدام کند. درک این نکته بسیار مهم است که این...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
33,536
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...