Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Távoli adminisztrációs eszközök HoldingHands RAT

HoldingHands RAT

Mezo -ra Távoli adminisztrációs eszközök, Advanced Persistent Threat (APT)-ben
Fordítás ide:

A Winos 4.0 kártevőcsalád (más néven ValleyRAT) mögött álló kiberfenyegetők Kínán és Tajvanon túlra is kiterjesztették tevékenységüket, és Japánt és Malajziát vették célba. A legutóbbi kampányaik során a csoport egy második távoli hozzáférésű trójai vírust (RAT) is telepített, amelyet HoldingHands (más néven Gh0stBins) néven azonosítottak, és elsődleges vektorként társadalmilag manipulált adathalász dokumentumokat használt.

Hogyan terjed a kampány

A támadók adathalász e-maileken keresztül terjesztik a rosszindulatú programot, amelyek PDF-mellékleteket tartalmaznak beágyazott rosszindulatú linkekkel. A PDF-ek hivatalos közleményeket utánoznak – egyes esetekben Pénzügyminisztériumi dokumentumoknak álcázva magukat –, és több linket tartalmaznak, amelyek közül csak egy vezet a rosszindulatú letöltéshez. Más esetekben a csali egy weboldal (például egy japán nyelvű oldal, amely a „twsww[.]xin/download[.]html” URL-címen található), amely arra kéri az áldozatokat, hogy töltsék le a RAT vírust tartalmazó ZIP archívumot.

Terjesztési módszerek és hozzárendelés

A Winos 4.0-t általában adathalász és SEO-mérgezési kampányokon keresztül terjesztik, amelyek hamis letöltési oldalakra irányítják át az áldozatokat, amelyek legitim szoftvereknek adják ki magukat (a megfigyelt példák közé tartoznak a Google Chrome, a Telegram, a Youdao, a Sogou AI, a WPS Office és a DeepSeek hamisított telepítői). Biztonsági kutatók a Winos használatát egy agresszív kiberbűnözői csoporthoz kötik, amely Silver Fox, SwimSnake, Valley Thief (A völgy nagy tolvaja), UTG-Q-1000 és Void Arachne néven ismert. 2025 szeptemberében a kutatók arról számoltak be, hogy ez a szereplő egy korábban nem dokumentált, sebezhető illesztőprogramot használt, amely egy WatchDog Anti-malware nevű gyártói termékkel volt csomagolva egy BYOVD (Bring Your Own Vulnerable Driver) technikával, hogy letiltsa a végpontvédelmet. Korábban (2025 augusztusában) a csoport SEO-mérgezést alkalmazott a HiddenGh0st és a Winos modulok terjesztésére, júniusban pedig egy dokumentált jelentés arról szólt, hogy a Silver Fox csapdákkal ellátott PDF-eket használt többlépcsős fertőzések végrehajtására, amelyek végül a HoldingHands RAT-ot telepítették. A történelmi csalétkek között szerepelnek az adózással kapcsolatos Excel-fájlok, amelyeket Kína ellen használtak 2024 márciusáig visszamenőleg; a legutóbbi erőfeszítések a Malajziát célzó adathalász landing oldalakra helyeződtek át.

Többlépcsős fertőzés és perzisztencia

A fertőzés jellemzően egy végrehajtható fájllal kezdődik, amely pénzügyi auditnak vagy más hivatalos dokumentumnak álcázza magát. A végrehajtható fájl egy rosszindulatú DLL-t tölt be, amely shellkód-betöltőként működik az „sw.dat” nevű hasznos fájlhoz. A betöltő számos anti-elemző és védekező műveletet hajt végre – virtuális gépek elleni ellenőrzéseket, futó folyamatok átvizsgálását ismert biztonsági termékek után kutatva és leállítva azokat, jogosultságok eszkalálását és a Windows Feladatütemező letiltását –, mielőtt átadná az irányítást a következő szakaszoknak.

A rendszerbe került fájlok:

  • svchost.ini – tartalmazza a VirtualAlloc RVA-ját.
  • TimeBrokerClient.dll (a jogos TimeBrokerClient.dll átnevezve BrokerClientCallback.dll-re).
  • msvchost.dat — titkosított shellkód.
  • system.dat — titkosított hasznos adat.
  • wkscli.dll — nem használt/helyőrző DLL.

Feladatütemező trigger és titkos aktiválás

Ahelyett, hogy egy explicit folyamatindításra hagyatkozna, a kampány a Windows Feladatütemező viselkedését használja ki: a Feladatütemező szolgáltatásként fut az svchost.exe alatt, és alapértelmezés szerint úgy van konfigurálva, hogy a hiba után rövid időn belül újrainduljon. A rosszindulatú program úgy módosítja a fájlokat, hogy a Feladatütemező szolgáltatás újraindulásakor az svchost.exe betöltse a rosszindulatú TimeBrokerClient.dll fájlt (átnevezve BrokerClientCallback.dll). Ez a DLL memóriát foglal le a titkosított shellkód számára az svchost.ini fájlban tárolt VirtualAlloc cím használatával, majd arra készteti az msvchost.dat programot, hogy visszafejtse a system.dat fájlt, és kinyeri a HoldingHands hasznos tartalmát. Ez a „szolgáltatás újraindítása → DLL betöltése” trigger csökkenti a közvetlen folyamatvégrehajtás szükségességét, és bonyolítja a viselkedésalapú észlelést.

Jogosultság eszkaláció a TrustedInstallerhez

A védett rendszerösszetevők átnevezéséhez és cseréjéhez szükséges engedélyek megszerzéséhez (például az eredeti TimeBrokerClient.dll átnevezéséhez) a betöltő magas jogosultságú rendszerfiókokat személyesít meg. A megfigyelt sorrend a következő:

  • Engedélyezze a SeDebugPrivilege jogosultságot a Winlogon folyamat és annak tokenjének eléréséhez.
  • Fogadja át a Winlogon tokent, hogy SYSTEM-ként fusson.
  • A SYSTEM mappából szerezzen be egy TrustedInstaller biztonsági környezetet – a Windows Resource Protection által a kritikus operációsrendszer-fájlok védelmére használt fiókot.
  • A TrustedInstaller kontextus használatával a rosszindulatú program módosíthatja a C:\Windows\System32 mappában található védett fájlokat (ez a művelet általában még a rendszergazdák számára is korlátozott).

Hogyan hajtja végre és tartja fenn az irányítást a hasznos teher

A rosszindulatú TimeBrokerClient komponens az svchost.ini fájlban található RVA alapján foglal le memóriát, oda helyezi az msvchost.dat fájlból származó visszafejtett shellkódot, majd lefuttatja azt. A visszafejtett hasznos adat kicsomagolja a HoldingHands-et, amely ezután kommunikációt létesít egy távoli parancs- és vezérlő (C2) szerverrel. A megfigyelt képességek a következők:

  • Gazdagép-információk küldése a C2-nek.
  • 60 másodpercenként szívverés üzeneteket küld a csatorna életben tartása érdekében.
  • Távoli parancsok fogadása és végrehajtása (adatlopás, tetszőleges parancsvégrehajtás, további hasznos adatok lekérése).
  • Egy további funkció, amely lehetővé teszi a kezelő számára a C2 cím frissítését egy Windows rendszerleíró bejegyzésen keresztül.

Célzás, nyelvi fókusz és valószínűsíthető indíték

A legújabb minták és csalétkek arra utalnak, hogy a hangsúly a kínai anyanyelvű áldozatokra helyeződik, bár a földrajzi hatókör mostanra Japánt és Malajziát is magában foglalja. A működési minták – felderítés, regionális célzás, lopakodó kitartás és moduláris hátsó ajtó funkciók – a régióban történő hírszerzésre utalnak, az implantátumokat pedig gyakran további utasításokig szunnyadó állapotban tartják.

Összefoglalás

A Silver Foxhoz köthető operátorok kibővítették a Winos 4.0 tevékenységét, és felvették eszköztárukba a HoldingHands RAT vírust, amely kifinomult szociális manipulációt (PDF-eket és SEO-mérgezett oldalakat) és egy kifinomult, többlépcsős végrehajtási láncot használ, amely visszaél a Feladatütemező viselkedésével és a TrustedInstaller jogosultságaival, hogy fennmaradjon és elkerülje az észlelést. A művelet képességei és célzottsága egy célzott regionális hírszerzési erőfeszítésre utal, hosszú élettartamú, moduláris implantátumokkal, amelyek az operátori parancsokra várnak.

Felkapott

American Express - Bejelentkezési kísérlet blokkolva...

Adathalászat, Spam
A kiberbűnözők gyakran kihasználják a megbízható márkák ismertségét, hogy gyanútlan felhasználókat csábítsanak bizalmas információk kiadására. Az „American Express – Bejelentkezési kísérlet blokkolva” átverés ennek a taktikának a kiváló példája. Ezek az e-mailek az American Express biztonsági riasztásait utánozzák, azt állítva, hogy egy gyanús bejelentkezési kísérletet blokkoltak, és a...

Legnézettebb

Betöltés...