HoldingHands RAT

តួអង្គគម្រាមកំហែងនៅពីក្រោយគ្រួសារមេរោគ Winos 4.0 (ក៏ត្រូវបានតាមដានថាជា ValleyRAT) បានពង្រីកប្រតិបត្តិការរបស់ពួកគេលើសពីប្រទេសចិន និងតៃវ៉ាន់ ដើម្បីកំណត់គោលដៅទៅកាន់ប្រទេសជប៉ុន និងម៉ាឡេស៊ី។ នៅក្នុងយុទ្ធនាការថ្មីៗទាំងនេះ ក្រុមនេះបានចែកចាយ Trojan ដែលអាចចូលប្រើពីចម្ងាយទីពីរ (RAT) ដែលត្រូវបានកំណត់ថាជា HoldingHands (aka Gh0stBins) ដោយប្រើឯកសារបន្លំដែលបង្កើតដោយសង្គមជាវ៉ិចទ័រចម្បង។

របៀបដែលយុទ្ធនាការរីករាលដាល

អ្នកវាយប្រហារចែកចាយមេរោគតាមរយៈអ៊ីមែលបន្លំដែលរួមបញ្ចូលឯកសារភ្ជាប់ PDF ជាមួយនឹងតំណភ្ជាប់ព្យាបាទដែលបានបង្កប់។ PDFs ក្លែងបន្លំទំនាក់ទំនងផ្លូវការ - ក្នុងករណីខ្លះដាក់ជាឯកសាររបស់ក្រសួងហិរញ្ញវត្ថុ - និងមានតំណភ្ជាប់ជាច្រើន ដែលមានតែមួយប៉ុណ្ណោះដែលនាំទៅដល់ការទាញយកដែលមានគំនិតអាក្រក់។ នៅក្នុងឧប្បត្តិហេតុផ្សេងទៀត ការទាក់ទាញគឺជាទំព័របណ្តាញ (ឧទាហរណ៍ ទំព័រជាភាសាជប៉ុនដែលបង្ហោះនៅ URL ដូចជា 'twsww[.]xin/download[.]html') ដែលជំរុញឱ្យជនរងគ្រោះទៅយកឯកសារ ZIP ដែលមាន RAT ។

វិធីសាស្រ្តចែកចាយ និងការបញ្ជាក់

Winos 4.0 ត្រូវបានផ្សព្វផ្សាយជាទូទៅតាមរយៈយុទ្ធនាការបន្លំ និង SEO-poisoning ដែលបញ្ជូនជនរងគ្រោះទៅកាន់ទំព័រទាញយកក្លែងក្លាយដែលដាក់ថាជាកម្មវិធីស្របច្បាប់ (ឧទាហរណ៍ដែលបានសង្កេតឃើញរួមមានកម្មវិធីដំឡើងក្លែងក្លាយសម្រាប់ Google Chrome, Telegram, Youdao, Sogou AI, WPS Office និង DeepSeek)។ អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានភ្ជាប់ការប្រើប្រាស់ Winos ទៅនឹងចង្កោមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណែតដ៏ឈ្លានពានដែលគេស្គាល់ថាជា Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 និង Void Arachne ។ នៅខែកញ្ញា ឆ្នាំ 2025 អ្នកស្រាវជ្រាវបានរាយការណ៍ថាតារាសម្តែងរូបនេះបានបំពានលើកម្មវិធីបញ្ជាដែលងាយរងគ្រោះដែលមិនមានឯកសារពីមុនដែលរួមបញ្ចូលជាមួយផលិតផលអ្នកលក់ហៅថា WatchDog Anti-malware នៅក្នុងបច្ចេកទេស BYOVD (នាំយកកម្មវិធីបញ្ជាដែលងាយរងគ្រោះផ្ទាល់ខ្លួនរបស់អ្នក) ដើម្បីបិទការការពារចំណុចបញ្ចប់។ មុននេះ (ខែសីហា ឆ្នាំ 2025) ក្រុមនេះបានប្រើប្រាស់ការពុល SEO ដើម្បីរីករាលដាលម៉ូឌុល HiddenGh0st និង Winos ហើយការរាយការណ៍ខែមិថុនាបានចងក្រងជាឯកសារ Silver Fox ដោយប្រើ PDFs ដែលជាប់នឹងទ្រូងដើម្បីឆ្លងមេរោគច្រើនជំហាន ដែលទីបំផុតបានដាក់ឱ្យប្រើប្រាស់ HoldingHands RAT ។ ការទាក់ទាញជាប្រវត្តិសាស្ត្ររួមមានឯកសារ Excel ដែលទាក់ទងនឹងពន្ធដែលប្រើប្រឆាំងនឹងប្រទេសចិននឹងត្រលប់ទៅខែមីនាឆ្នាំ 2024 ។ កិច្ចខិតខំប្រឹងប្រែងនាពេលថ្មីៗនេះបានផ្លាស់ប្តូរទៅទំព័រចុះចតបន្លំគោលដៅម៉ាឡេស៊ី។

ការឆ្លងមេរោគច្រើនដំណាក់កាល និងការតស៊ូ

ការឆ្លងជាធម្មតាចាប់ផ្តើមជាមួយនឹងការលាក់បាំងដែលអាចប្រតិបត្តិបានជាសវនកម្មពន្ធដារ ឬឯកសារផ្លូវការផ្សេងទៀត។ ផ្នែកដែលអាចប្រតិបត្តិបាននោះផ្ទុកនូវ DLL ដែលមានគំនិតអាក្រក់ ដែលដើរតួជាអ្នកផ្ទុកកូដសែលសម្រាប់បន្ទុកដែលមានឈ្មោះ 'sw.dat ។' កម្មវិធីផ្ទុកទិន្នន័យអនុវត្តសកម្មភាពប្រឆាំងការវិភាគ និងការការពារជាច្រើន - ការត្រួតពិនិត្យប្រឆាំងនឹង VM ស្កេនដំណើរការដែលកំពុងដំណើរការសម្រាប់ផលិតផលសុវត្ថិភាពដែលគេស្គាល់ និងបញ្ចប់ពួកវា បង្កើនសិទ្ធិ និងបិទកម្មវិធីកំណត់ពេលភារកិច្ចរបស់ Windows - មុនពេលប្រគល់ការគ្រប់គ្រងទៅដំណាក់កាលបន្តបន្ទាប់ទៀត។

ឯកសារដែលបានសង្កេតបានទម្លាក់ទៅប្រព័ន្ធ៖

• svchost.ini — មាន RVA សម្រាប់ VirtualAlloc ។
• TimeBrokerClient.dll (TimeBrokerClient.dll ស្របច្បាប់បានប្តូរឈ្មោះទៅជា BrokerClientCallback.dll)។

កម្មវិធីកំណត់ពេលភារកិច្ច កេះ និងការធ្វើឱ្យសកម្មដោយសម្ងាត់

ជាជាងការពឹងផ្អែកលើការចាប់ផ្ដើមដំណើរការច្បាស់លាស់ យុទ្ធនាការនេះប្រើឥរិយាបទកម្មវិធីកំណត់ពេលភារកិច្ចរបស់ Windows៖ Task Scheduler ដំណើរការជាសេវាកម្មក្រោម svchost.exe ហើយតាមលំនាំដើមត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីចាប់ផ្តើមឡើងវិញភ្លាមៗបន្ទាប់ពីការបរាជ័យ។ មេរោគនេះផ្លាស់ប្តូរឯកសារ ដូច្នេះនៅពេលដែលសេវាកម្ម Task Scheduler ចាប់ផ្តើមឡើងវិញ svchost.exe ផ្ទុកមេរោគ TimeBrokerClient.dll (ប្តូរឈ្មោះ BrokerClientCallback.dll)។ DLL នោះបែងចែកអង្គចងចាំសម្រាប់សែលកូដដែលបានអ៊ិនគ្រីបដោយប្រើអាសយដ្ឋាន VirtualAlloc ដែលរក្សាទុកក្នុង svchost.ini បន្ទាប់មកបណ្តាលឱ្យ msvchost.dat ឌិគ្រីប system.dat និងទាញយក HoldingHands payload ។ កេះ 'សេវាចាប់ផ្តើមឡើងវិញ → ការផ្ទុក DLL' នេះកាត់បន្ថយតម្រូវការសម្រាប់ដំណើរការដោយផ្ទាល់ និងធ្វើឱ្យស្មុគស្មាញដល់ការរកឃើញដោយផ្អែកលើអាកប្បកិរិយា។

ការបង្កើនសិទ្ធិទៅអ្នកដំឡើងដែលទុកចិត្ត

ដើម្បីទទួលបានការអនុញ្ញាតដែលចាំបាច់ក្នុងការប្តូរឈ្មោះ និងជំនួសសមាសធាតុប្រព័ន្ធដែលបានការពារ (ឧទាហរណ៍ ការប្តូរឈ្មោះ TimeBrokerClient.dll ពិតប្រាកដ) កម្មវិធីផ្ទុកឯកសារក្លែងធ្វើជាគណនីប្រព័ន្ធដែលមានសិទ្ធិខ្ពស់។ លំដាប់ដែលបានសង្កេតគឺ៖

• បើកដំណើរការ SeDebugPrivilege ដើម្បីចូលដំណើរការ Winlogon និងសញ្ញាសម្ងាត់របស់វា។
• ទទួលយកនិមិត្តសញ្ញា Winlogon ដើម្បីដំណើរការជាប្រព័ន្ធ។
• ពីប្រព័ន្ធ ទទួលបានបរិបទសុវត្ថិភាព TrustedInstaller — គណនីដែលប្រើដោយ Windows Resource Protection ដើម្បីការពារឯកសារ OS សំខាន់ៗ។
• ដោយប្រើបរិបទ TrustedInstaller នោះ មេរោគអាចកែប្រែឯកសារដែលបានការពារនៅក្នុង C:\Windows\System32 (សកម្មភាពជាធម្មតាត្រូវបានដាក់កម្រិតសូម្បីតែសម្រាប់អ្នកគ្រប់គ្រង)។

របៀបដែល Payload ប្រតិបត្តិ និងរក្សាការគ្រប់គ្រង

សមាសភាគ TimeBrokerClient ព្យាបាទបែងចែកអង្គចងចាំក្នុងមួយ RVA ក្នុង svchost.ini ដាក់លេខកូដសែលដែលបានឌិគ្រីបពី msvchost.dat នៅទីនោះ ហើយដំណើរការវា។ បន្ទុកដែលបានឌិគ្រីបបានពន្លា HoldingHands ដែលបន្ទាប់មកបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជាពីចម្ងាយ (C2) ។ សមត្ថភាពសង្កេតរួមមាន:

• ការផ្ញើព័ត៌មានម៉ាស៊ីនទៅ C2 ។
• ការផ្ញើសារចង្វាក់បេះដូងរៀងរាល់ 60 វិនាទី ដើម្បីរក្សាឆានែលឱ្យនៅរស់។

ការកំណត់គោលដៅ ការផ្តោតអារម្មណ៍ភាសា និងការជម្រុញទំនង

គំរូ និងការទាក់ទាញថ្មីៗបង្ហាញពីការយកចិត្តទុកដាក់លើជនរងគ្រោះជាភាសាចិន ទោះបីជាវិសាលភាពភូមិសាស្រ្តឥឡូវនេះរួមបញ្ចូលប្រទេសជប៉ុន និងម៉ាឡេស៊ីក៏ដោយ។ លំនាំប្រតិបត្តិការ — ការឈ្លបយកការណ៍ ការកំណត់គោលដៅក្នុងតំបន់ ការជាប់គាំងលាក់លៀម និងមុខងារខាងក្រោយម៉ូឌុល — ចង្អុលទៅការប្រមូលព័ត៌មានសម្ងាត់នៅក្នុងតំបន់ ដោយការដាក់បញ្ចូលជាញឹកញាប់ទុកចោលដោយរង់ចាំការណែនាំបន្ថែម។

សង្ខេប

ប្រតិបត្តិករដែលភ្ជាប់ជាមួយ Silver Fox បានពង្រីកសកម្មភាព Winos 4.0 និងបានបន្ថែម HoldingHands RAT ទៅក្នុងឧបករណ៍របស់ពួកគេ ដោយប្រើវិស្វកម្មសង្គមដ៏ទំនើប (PDFs និងទំព័រដែលមានជាតិពុល SEO) និងខ្សែសង្វាក់ប្រតិបត្តិពហុដំណាក់កាលដ៏ស្មុគ្រស្មាញ ដែលបំពានលើឥរិយាបទ Task Scheduler និងសិទ្ធិ TrustedInstaller ក្នុងការរកឃើញ និងជៀសវាង។ សមត្ថភាព និងការកំណត់គោលដៅរបស់ប្រតិបត្តិការនេះ ស្នើឱ្យមានការខិតខំប្រឹងប្រែងប្រមូលព័ត៌មានសម្ងាត់ក្នុងតំបន់ ជាមួយនឹងការដាក់បញ្ចូលម៉ូឌុលដែលមានអាយុកាលយូររង់ចាំការបញ្ជាប្រតិបត្តិករ។