Monen lisenssin alennustarjous
Uhatietokanta Etähallintatyökalut HoldingHands RAT

HoldingHands RAT

Vuonna Mezo vuonna Etähallintatyökalut, Advanced Persistent Threat (APT)
Käännä:

Winos 4.0 -haittaohjelmaperheen (jota seurataan myös nimellä ValleyRAT) takana olevat uhkatoimijat ovat laajentaneet toimintaansa Kiinan ja Taiwanin ulkopuolelle kohdistamaan toimintansa Japaniin ja Malesiaan. Näissä viimeaikaisissa kampanjoissa ryhmä levitti toista etäkäyttötroijalaista (RAT), joka tunnistettiin nimellä HoldingHands (eli Gh0stBins), ja käytti ensisijaisena vektorina sosiaalisesti manipuloituja tietojenkalastelutiedostoja.

Miten kampanja leviää

Hyökkääjät levittävät haittaohjelmaa tietojenkalastelusähköpostien kautta, jotka sisältävät PDF-liitteitä ja niihin upotettuja haitallisia linkkejä. PDF-tiedostot jäljittelevät virallisia viestintäviestejä – joissakin tapauksissa ne esiintyvät valtiovarainministeriön asiakirjoina – ja sisältävät useita linkkejä, joista vain yksi johtaa haitalliseen lataukseen. Toisissa tapauksissa houkuttimena on verkkosivu (esimerkiksi japaninkielinen sivu, joka sijaitsee URL-osoitteessa, kuten 'twsww[.]xin/download[.]html'), joka kehottaa uhreja hakemaan RAT-haittaohjelman sisältävän ZIP-arkiston.

Jakelumenetelmät ja attribuutio

Winos 4.0 leviää yleisesti tietojenkalastelu- ja hakukoneoptimointikampanjoiden kautta, jotka ohjaavat uhrit väärennetyille lataussivuille, jotka tekeytyvät laillisiksi ohjelmistoiksi (esimerkkejä havaituista ohjelmista ovat väärennetyt asennusohjelmat Google Chromelle, Telegramille, Youdaolle, Sogou AI:lle, WPS Officelle ja DeepSeekille). Tietoturvatutkijat yhdistävät Winosin käytön aggressiiviseen kyberrikollisryppääseen, joka tunnetaan eri nimillä Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 ja Void Arachne. Syyskuussa 2025 tutkijat raportoivat, että tämä toimija väärinkäytti aiemmin dokumentoimatonta haavoittuvaa ajuria, joka oli yhdistetty WatchDog Anti-malware -nimiseen valmistajan tuotteeseen, BYOVD (Bring Your Own Vulnerable Driver) -tekniikalla poistaakseen päätepisteiden suojauksen käytöstä. Aiemmin (elokuussa 2025) ryhmä käytti hakukoneoptimointimyrkytysohjelmia levittääkseen HiddenGh0st- ja Winos-moduuleja, ja kesäkuussa raportoitiin, että Silver Fox käytti ansoihin tallennettuja PDF-tiedostoja monivaiheisten tartuntojen järjestämiseen, jotka lopulta käyttivät HoldingHands RAT -haittaohjelmaa. Historiallisiin houkuttimiin kuuluvat Kiinaa vastaan käytetyt veroaiheiset Excel-tiedostot maaliskuusta 2024 lähtien; viimeaikaiset toimet ovat keskittyneet Malesiaan kohdistuviin tietojenkalastelusivuihin.

Monivaiheinen infektio ja pysyvyys

Tartunta alkaa tyypillisesti suoritettavalla tiedostolla, joka naamioituu tarkastustiedostoksi tai muuksi viralliseksi asiakirjaksi. Tämä suoritettava tiedosto lataa sivulle haitallisen DLL-tiedoston, joka toimii komentokoodin lataajana 'sw.dat'-nimiselle hyötykuormalle. Lataaja suorittaa useita anti-analyysejä ja puolustustoimia – virtuaalikoneiden tarkistuksia, käynnissä olevien prosessien skannausta tunnettujen tietoturvatuotteiden varalta ja niiden lopettamista, oikeuksien laajentamista ja Windowsin tehtävien ajoituksen poistamista käytöstä – ennen kuin siirtää hallinnan seuraaville vaiheille.

Järjestelmään pudotetut tiedostot:

  • svchost.ini — sisältää VirtualAllocin RVA:n.
  • TimeBrokerClient.dll (laillinen TimeBrokerClient.dll-tiedosto nimetty uudelleen BrokerClientCallback.dll-tiedostoksi).
  • msvchost.dat — salattu kuorikoodi.
  • system.dat — salattu hyötykuorma.
  • wkscli.dll — käyttämätön/paikkamerkki-DLL.

Tehtävien ajoituksen liipaisin ja huomaamaton aktivointi

Sen sijaan, että kampanja luottaisi yksittäiseen prosessin käynnistykseen, se hyödyntää Windowsin tehtävien ajoituksen toimintaa: Tehtävien ajoitus toimii palveluna svchost.exe-alustalla ja on oletusarvoisesti määritetty käynnistymään uudelleen pian epäonnistumisen jälkeen. Haittaohjelma muuttaa tiedostoja siten, että kun Tehtävien ajoituspalvelu käynnistyy uudelleen, svchost.exe lataa haitallisen TimeBrokerClient.dll-tiedoston (nimetty uudelleen BrokerClientCallback.dll). Tämä DLL varaa muistia salatulle komentotulkkikoodille käyttämällä svchost.ini-tiedostoon tallennettua VirtualAlloc-osoitetta ja saa sitten msvchost.dat-tiedoston purkamaan system.dat-tiedoston salauksen ja poimimaan HoldingHands-hyötysisällön. Tämä "palvelun uudelleenkäynnistys → DLL:n lataus" -liipaisin vähentää suoran prosessien suorittamisen tarvetta ja vaikeuttaa käyttäytymiseen perustuvaa havaitsemista.

Oikeuksien siirtäminen TrustedInstallerille

Saadakseen tarvittavat oikeudet suojattujen järjestelmäkomponenttien uudelleennimeämiseen ja korvaamiseen (esimerkiksi aidon TimeBrokerClient.dll-tiedoston uudelleennimeämiseen), latausohjelma tekeytyy korkean käyttöoikeuden järjestelmätileiksi. Havaittu sarja on seuraava:

  • Ota SeDebugPrivilege käyttöön, jotta voit käyttää Winlogon-prosessia ja sen tunnusta.
  • Ota Winlogon-tunnus käyttöön suorittaaksesi SYSTEM-järjestelmän.
  • Hanki SYSTEM-kohdasta TrustedInstaller-suojauskonteksti – tili, jota Windows Resource Protection käyttää kriittisten käyttöjärjestelmätiedostojen suojaamiseen.
  • TrustedInstaller-kontekstin avulla haittaohjelma voi muokata suojattuja tiedostoja C:\Windows\System32-hakemistossa (toiminto, joka on normaalisti rajoitettu jopa järjestelmänvalvojille).

Miten hyötykuorma toimii ja ylläpitää hallintaa

Haitallinen TimeBrokerClient-komponentti varaa muistia svchost.ini-tiedostossa olevan RVA:n mukaan, sijoittaa msvchost.dat-tiedostosta puretun shell-koodin sinne ja suorittaa sen. Purettu hyötykuorma purkaa HoldingHandsin, joka sitten muodostaa yhteyden etäkomento- ja -hallintapalvelimeen (C2). Havaittuihin ominaisuuksiin kuuluvat:

  • Isäntätietojen lähettäminen C2:lle.
  • Lähettää sykeviestejä 60 sekunnin välein pitääkseen kanavan toiminnassa.
  • Etäkomentojen vastaanottaminen ja suorittaminen (tietojen varastaminen, mielivaltainen komentojen suorittaminen, lisäkuormien hakeminen).
  • Lisäominaisuus, jonka avulla operaattori voi päivittää C2-osoitteen Windowsin rekisterimerkinnän kautta.

Kohdentaminen, kielenkäyttö ja todennäköinen motiivi

Viimeaikaiset näytteet ja houkutukset viittaavat keskittymiseen kiinankielisiin uhreihin, vaikka maantieteellinen laajuus kattaa nyt myös Japanin ja Malesia. Toimintamallit – tiedustelu, alueellinen kohdentaminen, piilossa pysyminen ja modulaarinen takaportin toiminnallisuus – viittaavat tiedustelutietojen keräämiseen alueella, ja implantit jätetään usein lepotilaan odottamaan lisäohjeita.

Yhteenveto

Silver Foxiin kytköksissä olevat operaattorit ovat laajentaneet Winos 4.0 -toimintaansa ja lisänneet työkalupakkiinsa HoldingHands RAT -hyökkäyksen. He käyttävät hiottua sosiaalista manipulointia (PDF-tiedostoja ja hakukoneoptimoinnilla saastutettuja sivuja) ja hienostunutta monivaiheista suoritusketjua, joka väärinkäyttää tehtävien ajoituksen toimintaa ja TrustedInstaller-oikeuksia pysyäkseen aloillaan ja välttääkseen havaitsemisen. Operaation ominaisuudet ja kohdentaminen viittaavat kohdennettuun alueelliseen tiedustelutietojen keräämiseen, jossa käytetään pitkäikäisiä, modulaarisia implantteja, jotka odottavat operaattoreiden komentoja.

Trendaavat

American Express - Kirjautumisyritys estettiin -huijaus

Tietojenkalastelu, Roskaposti
Kyberrikolliset usein hyödyntävät luotettavien tuotemerkkien tunnettuutta houkutellakseen tietämättömiä käyttäjiä paljastamaan arkaluonteisia tietoja. ”American Express - Kirjautumisyritys estettiin” -huijaus on tästä taktiikasta erinomainen esimerkki. Nämä sähköpostit jäljittelevät American Expressin tietoturvahälytyksiä väittäen, että epäilyttävä kirjautumisyritys estettiin, ja kehottaen...

Eniten katsottu

Ladataan...