מחזיק ידיים RAT

גורמי האיום העומדים מאחורי משפחת תוכנות הזדוניות Winos 4.0 (העוקבת גם אחר ValleyRAT) הרחיבו את פעילותם מעבר לסין וטייוואן כדי להתמקד ביפן ובמלזיה. בקמפיינים האחרונים, הקבוצה העבירה טרויאן גישה מרחוק (RAT) שני שזוהה כ-HoldingHands (הידוע גם כ-Gh0stBins), תוך שימוש במסמכי פישינג מהונדסים חברתית כווקטור העיקרי.

כיצד הקמפיין מתפשט

תוקפים מפיצים את הנוזקה באמצעות הודעות דוא"ל פישינג הכוללות קבצי PDF מצורפים עם קישורים זדוניים מוטמעים. קבצי ה-PDF מתחזים לתקשורת רשמית - במקרים מסוימים, מתחזים למסמכי משרד האוצר - ומכילים קישורים מרובים, שרק אחד מהם מוביל להורדה הזדונית. במקרים אחרים, הפיתיון הוא דף אינטרנט (לדוגמה, דף בשפה היפנית המתארח בכתובת URL כמו 'twsww[.]xin/download[.]html') שמבקש מהקורבנות לאחזר ארכיון ZIP המכיל את קובץ ה-RAT.

שיטות חלוקה וייחוס

Winos 4.0 מופץ בדרך כלל באמצעות קמפיינים של פישינג והרעלת SEO המפנים קורבנות לדפי הורדה מזויפים המתחזים לתוכנה לגיטימית (דוגמאות שנצפו כוללות מתקינים מזויפים עבור Google Chrome, Telegram, Youdao, Sogou AI, WPS Office ו-DeepSeek). חוקרי אבטחה מקשרים את השימוש ב-Winos לאשכול פושעי סייבר אגרסיבי המכונה Silver Fox, SwimSnake, Valley Thief (הגנב הגדול של העמק), UTG-Q-1000 ו-Void Arachne. בספטמבר 2025, חוקרים דיווחו על ניצול לרעה של מנהל התקן פגיע שלא תועד בעבר, שהגיע עם מוצר של הספק בשם WatchDog Anti-malware, בטכניקת BYOVD (Bring Your Own Vulnerable Driver) כדי להשבית את הגנת נקודות הקצה. מוקדם יותר (אוגוסט 2025), הקבוצה השתמשה בהרעלת SEO כדי להפיץ מודולים של HiddenGh0st ו-Winos, וביוני דיווח כי Silver Fox תיעד שימוש בקבצי PDF ממולכדים כדי לבצע הדבקות מרובות שלבים שבסופו של דבר פרשו את HoldingHands RAT. פיתויים היסטוריים כוללים קבצי אקסל בנושא מיסוי ששימשו נגד סין עוד ממרץ 2024; מאמצים אחרונים עברו לדפי נחיתה של פישינג המכוונים למלזיה.

זיהום רב-שלבי והתמדה

ההדבקה מתחילה בדרך כלל בקובץ הרצה המתחזה לביקורת בלו או למסמך רשמי אחר. קובץ הרצה זה טוען בצד קובץ DLL זדוני, אשר משמש כטוען קוד מעטפת עבור מטען בשם 'sw.dat'. הטוען מבצע מספר פעולות אנטי-אנליזה והגנה - בדיקות אנטי-וירטואליות, סריקת תהליכים פועלים עבור מוצרי אבטחה ידועים וסיום שלהם, הסלמת הרשאות והשבתת מתזמן המשימות של Windows - לפני העברת השליטה לשלבים הבאים.

קבצים שנצפו והושמטו למערכת:

• svchost.ini - מכיל את ה-RVA עבור VirtualAlloc.
• TimeBrokerClient.dll (קובץ TimeBrokerClient.dll הלגיטימי ששינה את שמו ל-BrokerClientCallback.dll).

טריגר מתזמן משימות והפעלה חשאית

במקום להסתמך על הפעלת תהליך מפורשת, הקמפיין מנצל את התנהגות מתזמן המשימות של Windows: מתזמן המשימות פועל כשירות תחת svchost.exe ותצורתו מוגדרת כברירת מחדל להפעיל מחדש זמן קצר לאחר הכישלון. התוכנה הזדונית משנה קבצים כך שכאשר שירות מתזמן המשימות מופעל מחדש, svchost.exe טוען את הקובץ TimeBrokerClient.dll הזדוני (ששמה שונה ל-BrokerClientCallback.dll). קובץ DLL זה מקצה זיכרון עבור קוד המעטפת המוצפן באמצעות כתובת VirtualAlloc המאוחסנת ב-svchost.ini, ולאחר מכן גורם ל-msvchost.dat לפענח את system.dat ולחלץ את המטען של HoldingHands. טריגר זה של 'הפעלה מחדש של שירות → טעינת DLL' מפחית את הצורך בביצוע ישיר של תהליך ומסבך את הזיהוי המבוסס על התנהגות.

הסלמת הרשאות ל-TrustedInstaller

כדי לקבל את ההרשאות הדרושות לשינוי שם והחלפה של רכיבי מערכת מוגנים (לדוגמה, שינוי שם הקובץ TimeBrokerClient.dll המקורי), הטוען מתחזה לחשבונות מערכת בעלי הרשאות גבוהות. הרצף שנצפה הוא:

• הפעל ל-SeDebugPrivilege גישה לתהליך Winlogon ולטוקן שלו.
• אימוץ אסימון Winlogon להפעלה כ-SYSTEM.
• מ-SYSTEM, קבל הקשר אבטחה של TrustedInstaller - החשבון בו משתמש Windows Resource Protection כדי להגן על קבצי מערכת הפעלה קריטיים.
• באמצעות ההקשר של TrustedInstaller, התוכנה הזדונית יכולה לשנות קבצים מוגנים ב-C:\Windows\System32 (פעולה שבדרך כלל מוגבלת גם למנהלי מערכת).

כיצד המטען מבצע ושומר על שליטה

רכיב TimeBrokerClient הזדוני מקצה זיכרון לפי ה-RVA בקובץ svchost.ini, ממקם שם את קוד המעטפת המפוענח מקובץ msvchost.dat ומפעיל אותו. המטען המפוענח פורק את HoldingHands, אשר לאחר מכן יוצר תקשורת עם שרת שליטה ובקרה מרוחק (C2). היכולות שנצפו כוללות:

• שליחת מידע על המארח ל-C2.
• שליחת הודעות פעימות לב כל 60 שניות כדי לשמור על הערוץ פעיל.

מיקוד, מיקוד שפה ומניע סביר

דגימות ופיתיונות אחרונים מצביעים על התמקדות בקורבנות דוברי הסינית, אם כי ההיקף הגיאוגרפי כולל כעת את יפן ומלזיה. דפוסי הפעולה - סיור, מיקוד אזורי, התמדה חשאית ופונקציונליות דלת אחורית מודולרית - מצביעים על איסוף מודיעין באזור, כאשר שתלים נותרים לעתים קרובות רדומים בהמתנה להוראות נוספות.

תַקצִיר

מפעילים המקושרים ל-Silver Fox הרחיבו את פעילות Winos 4.0 והוסיפו את HoldingHands RAT לערכת הכלים שלהם, תוך שימוש בהנדסה חברתית מלוטשת (קבצי PDF ודפים מורעלים בקידום אתרים) ובשרשרת ביצוע מתוחכמת רב-שלבית המנצלת לרעה את התנהגות מתזמן המשימות ואת הרשאות TrustedInstaller כדי להתמיד ולהתחמק מגילוי. יכולות המבצע והמיקוד שלו מצביעים על מאמץ איסוף מודיעין אזורי ממוקד עם שתלים מודולריים ארוכי טווח הממתינים לפקודות המפעיל.