Ponuda s popustom na više licenci
Baza prijetnji Alati za udaljenu administraciju HoldingHands RAT

HoldingHands RAT

Do Mezo. Alati za udaljenu administraciju, Napredna trajna prijetnja (APT). godine
Prevedi na:

Akteri prijetnji koji stoje iza obitelji zlonamjernog softvera Winos 4.0 (također praćene kao ValleyRAT) proširili su svoje djelovanje izvan Kine i Tajvana te ciljaju Japan i Maleziju. U tim nedavnim kampanjama, grupa je isporučila drugi trojanac s daljinskim pristupom (RAT) identificiran kao HoldingHands (poznat i kao Gh0stBins), koristeći društveno inženjerske phishing dokumente kao primarni vektor.

Kako se kampanja širi

Napadači distribuiraju zlonamjerni softver putem phishing e-poruka koje uključuju PDF priloge s ugrađenim zlonamjernim poveznicama. PDF-ovi oponašaju službenu komunikaciju - u nekim slučajevima, predstavljajući se kao dokumenti Ministarstva financija - i sadrže više poveznica, od kojih samo jedna vodi do zlonamjernog preuzimanja. U drugim incidentima, mamac je web stranica (na primjer, stranica na japanskom jeziku hostana na URL-u poput 'twsww[.]xin/download[.]html') koja potiče žrtve da preuzmu ZIP arhivu koja sadrži RAT.

Metode distribucije i atribucija

Winos 4.0 se obično širi putem phishing i SEO kampanja trovanja koje preusmjeravaju žrtve na lažne stranice za preuzimanje koje se predstavljaju kao legitimni softver (uočeni primjeri uključuju krivotvorene instalacijske programe za Google Chrome, Telegram, Youdao, Sogou AI, WPS Office i DeepSeek). Sigurnosni istraživači povezuju korištenje Winosa s agresivnim klasterom kibernetičkog kriminala poznatim kao Silver Fox, SwimSnake, Valley Thief (Veliki lopov doline), UTG-Q-1000 i Void Arachne. U rujnu 2025. istraživači su izvijestili da je ovaj akter zloupotrijebio prethodno nedokumentirani ranjivi upravljački program u paketu s proizvodom dobavljača pod nazivom WatchDog Anti-malware u BYOVD (Bring Your Own Vulnerable Driver) tehnici kako bi onemogućio zaštitu krajnjih točaka. Ranije (kolovoz 2025.), grupa je koristila SEO trovanje za širenje HiddenGh0st i Winos modula, a lipanjsko izvješće dokumentiralo je Silver Foxa koji koristi zamke u PDF-ovima za postavljanje višestepenih infekcija koje su na kraju aktivirale HoldingHands RAT. Povijesni mamci uključuju Excel datoteke s temom oporezivanja korištene protiv Kine još od ožujka 2024.; nedavni napori usmjereni su na malezijske phishing stranice.

Višefazna infekcija i perzistencija

Infekcija obično počinje izvršnom datotekom koja se maskira kao revizija trošarina ili neki drugi službeni dokument. Ta izvršna datoteka bočno učitava zlonamjerni DLL, koji djeluje kao učitivač shellcode-a za korisni teret pod nazivom 'sw.dat'. Učitivač izvodi nekoliko anti-analitičkih i obrambenih radnji - anti-VM provjere, skeniranje pokrenutih procesa za poznate sigurnosne proizvode i njihovo prekidanje, eskaliranje privilegija i onemogućavanje Windows Task Schedulera - prije nego što preda kontrolu sljedećim fazama.

Opažene datoteke koje su bačene u sustav:

  • svchost.ini — sadrži RVA za VirtualAlloc.
  • TimeBrokerClient.dll (legitimna datoteka TimeBrokerClient.dll preimenovana u BrokerClientCallback.dll).
  • msvchost.dat — šifrirani shellcode.
  • system.dat — šifrirani korisni teret.
  • wkscli.dll — nekorišteni/privremeni DLL.

Okidač za raspoređivanje zadataka i prikrivena aktivacija

Umjesto oslanjanja na eksplicitno pokretanje procesa, kampanja iskorištava ponašanje Windows Task Schedulera: Task Scheduler radi kao usluga pod svchost.exe i prema zadanim postavkama je konfiguriran za ponovno pokretanje ubrzo nakon kvara. Zlonamjerni softver mijenja datoteke tako da kada se usluga Task Schedulera ponovno pokrene, svchost.exe učitava zlonamjerni TimeBrokerClient.dll (preimenovan u BrokerClientCallback.dll). Taj DLL dodjeljuje memoriju za šifrirani shellcode koristeći VirtualAlloc adresu pohranjenu u svchost.ini, a zatim uzrokuje da msvchost.dat dešifrira system.dat i izdvoji HoldingHands korisni teret. Ovaj okidač 'ponovno pokretanje usluge → učitavanje DLL-a' smanjuje potrebu za izravnim izvršavanjem procesa i komplicira otkrivanje na temelju ponašanja.

Eskalacija privilegija na TrustedInstaller

Kako bi dobio dozvole potrebne za preimenovanje i zamjenu zaštićenih sistemskih komponenti (na primjer, preimenovanje originalne datoteke TimeBrokerClient.dll), program za učitavanje oponaša sistemske račune s visokim privilegijama. Opaženi slijed je sljedeći:

  • Omogućite SeDebugPrivilege pristup Winlogon procesu i njegovom tokenu.
  • Usvojite Winlogon token za pokretanje kao SYSTEM.
  • Iz SYSTEM-a preuzmite sigurnosni kontekst TrustedInstaller - račun koji Windows Resource Protection koristi za zaštitu kritičnih datoteka OS-a.
  • Koristeći taj TrustedInstaller kontekst, zlonamjerni softver može mijenjati zaštićene datoteke u C:\Windows\System32 (radnja koja je inače ograničena čak i za administratore).

Kako korisni teret izvršava i održava kontrolu

Zlonamjerna komponenta TimeBrokerClient dodjeljuje memoriju prema RVA u svchost.ini, tamo smješta dešifrirani shellcode iz msvchost.dat i pokreće ga. Dešifrirani teret raspakira HoldingHands, koji zatim uspostavlja komunikaciju s udaljenim poslužiteljem za upravljanje i kontrolu (C2). Uočene mogućnosti uključuju:

  • Slanje informacija o hostu na C2.
  • Slanje poruka otkucaja srca svakih 60 sekundi kako bi kanal ostao aktivan.
  • Primanje i izvršavanje udaljenih naredbi (krađa podataka, proizvoljno izvršavanje naredbi, dohvaćanje dodatnih korisnih podataka).
  • Dodana značajka koja omogućuje operateru ažuriranje C2 adrese putem unosa u registru sustava Windows.

Ciljanje, jezični fokus i vjerojatni motiv

Nedavni uzorci i mamci ukazuju na fokus na žrtve koje govore kineski, iako geografski opseg sada uključuje Japan i Maleziju. Operativni obrasci - izviđanje, regionalno ciljanje, prikrivena upornost i modularna funkcionalnost stražnjih vrata - ukazuju na prikupljanje obavještajnih podataka u regiji, s implantatima koji često ostaju neaktivni u iščekivanju daljnjih uputa.

Sažetak

Operateri povezani sa Silver Foxom proširili su aktivnosti Winosa 4.0 i dodali HoldingHands RAT u svoj set alata, koristeći uglađeni socijalni inženjering (PDF-ove i SEO-om zaražene stranice) i sofisticirani višestupanjski lanac izvršenja koji zloupotrebljava ponašanje Raspoređivača zadataka i privilegije TrustedInstallera kako bi opstao i izbjegao otkrivanje. Mogućnosti i ciljanje operacije sugeriraju usmjereni regionalni napor prikupljanja obavještajnih podataka s dugovječnim, modularnim implantatima koji čekaju naredbe operatera.

U trendu

American Express - Pokušaj prijave blokiran je -...

Krađa identiteta, Spam
Kibernetički kriminalci često iskorištavaju poznatost pouzdanih robnih marki kako bi namamili nesuđene korisnike da otkriju osjetljive informacije. Prijevara 'American Express - Pokušaj prijave blokiran' glavni je primjer ove taktike. Ove e-poruke oponašaju sigurnosna upozorenja tvrtke American Express, tvrdeći da je sumnjiv pokušaj prijave blokiran i potičući primatelja da odmah poduzme mjere....

Nagledanije

Učitavam...