HoldingHands RAT

Winos 4.0 맬웨어 계열(ValleyRAT으로도 추적됨)의 배후에 있는 위협 행위자들은 중국과 대만을 넘어 일본과 말레이시아까지 공격 대상을 확대했습니다. 최근 캠페인에서 해당 그룹은 HoldingHands(일명 Gh0stBins)로 식별된 두 번째 원격 액세스 트로이 목마(RAT)를 유포했는데, 이는 사회 공학적 피싱 문서를 주요 공격 벡터로 사용했습니다.

캠페인이 확산되는 방식

공격자는 악성 링크가 포함된 PDF 첨부 파일이 포함된 피싱 이메일을 통해 악성코드를 유포합니다. PDF 파일은 공식 문서를 사칭하며, 경우에 따라 재무부 문서로 위장하기도 합니다. 여러 개의 링크가 포함되어 있는데, 그중 하나만 악성 다운로드로 연결됩니다. 다른 사례에서는 피해자에게 RAT가 포함된 ZIP 압축 파일을 가져오도록 유도하는 웹 페이지(예: 'twsww[.]xin/download[.]html'과 같은 URL에 호스팅된 일본어 페이지)가 미끼로 사용됩니다.

배포 방법 및 귀속

Winos 4.0은 일반적으로 피싱 및 SEO 포이즈닝 캠페인을 통해 유포되며, 피해자를 합법적인 소프트웨어로 위장한 가짜 다운로드 페이지로 리디렉션합니다(예: Google Chrome, Telegram, Youdao, Sogou AI, WPS Office, DeepSeek용 위조 설치 프로그램). 보안 연구원들은 Winos의 사용을 Silver Fox, SwimSnake, Valley Thief(The Great Thief of Valley), UTG-Q-1000, Void Arachne 등 다양한 이름으로 알려진 공격적인 사이버 범죄 집단과 연관시킵니다. 2025년 9월, 연구원들은 이 공격자가 WatchDog Anti-malware라는 공급업체 제품에 포함된 이전에 문서화되지 않은 취약한 드라이버를 BYOVD(Bring Your Own Vulnerable Driver) 방식으로 악용하여 엔드포인트 보안을 무력화했다고 보고했습니다. 이 그룹은 앞서(2025년 8월) SEO 포이즈닝 기법을 사용하여 HiddenGh0st와 Winos 모듈을 유포했으며, 6월 보고서에는 Silver Fox가 부비트랩이 설치된 PDF 파일을 사용하여 다단계 감염을 진행하여 궁극적으로 HoldingHands RAT을 배포한 사례가 기록되어 있습니다. 과거 유인 수단으로는 2024년 3월로 거슬러 올라가는 중국을 겨냥한 세금 관련 엑셀 파일 등이 있으며, 최근에는 말레이시아를 표적으로 삼은 피싱 랜딩 페이지로 전환되었습니다.

다단계 감염 및 지속성

감염은 일반적으로 소비세 감사 또는 기타 공식 문서로 위장한 실행 파일에서 시작됩니다. 이 실행 파일은 악성 DLL을 사이드로딩하는데, 이 DLL은 'sw.dat'라는 페이로드의 셸코드 로더 역할을 합니다. 로더는 VM 검사, 실행 중인 프로세스에서 알려진 보안 제품 검사 및 종료, 권한 상승, Windows 작업 스케줄러 비활성화 등 여러 가지 분석 방지 및 방어 조치를 수행한 후, 이후 단계로 제어권을 넘깁니다.

시스템에 삭제된 파일:

• svchost.ini — VirtualAlloc의 RVA를 포함합니다.
• TimeBrokerClient.dll(정식 TimeBrokerClient.dll을 BrokerClientCallback.dll로 이름 변경).

• msvchost.dat — 암호화된 쉘코드.

• system.dat — 암호화된 페이로드.

• wkscli.dll — 사용되지 않는 플레이스홀더 DLL.

작업 스케줄러 트리거 및 은밀한 활성화

이 캠페인은 명시적인 프로세스 실행에 의존하는 대신, Windows 작업 스케줄러의 동작을 활용합니다. 작업 스케줄러는 svchost.exe에서 서비스로 실행되며, 기본적으로 오류 발생 후 바로 재시작되도록 구성되어 있습니다. 이 악성코드는 작업 스케줄러 서비스가 재시작될 때 svchost.exe가 악성 TimeBrokerClient.dll(BrokerClientCallback.dll로 이름 변경)을 로드하도록 파일을 변경합니다. 이 DLL은 svchost.ini에 저장된 VirtualAlloc 주소를 사용하여 암호화된 셸코드에 메모리를 할당한 후, msvchost.dat가 system.dat의 암호를 해독하고 HoldingHands 페이로드를 추출하도록 합니다. 이러한 '서비스 재시작 → DLL 로드' 트리거는 직접적인 프로세스 실행의 필요성을 줄이고 동작 기반 탐지를 복잡하게 만듭니다.

TrustedInstaller로 권한 상승

보호된 시스템 구성 요소의 이름을 바꾸고 대체하는 데 필요한 권한을 얻기 위해(예: 정품 TimeBrokerClient.dll 이름 변경) 로더는 높은 권한의 시스템 계정을 가장합니다. 관찰된 시퀀스는 다음과 같습니다.

• SeDebugPrivilege를 활성화하여 Winlogon 프로세스와 해당 토큰에 액세스합니다.
• SYSTEM으로 실행하려면 Winlogon 토큰을 채택하세요.
• SYSTEM에서 TrustedInstaller 보안 컨텍스트를 획득합니다. 이 계정은 Windows 리소스 보호에서 중요한 OS 파일을 보호하는 데 사용됩니다.
• 해당 TrustedInstaller 컨텍스트를 사용하면 맬웨어는 C:\Windows\System32에 있는 보호된 파일을 수정할 수 있습니다(일반적으로 관리자도 제한하는 작업).

페이로드가 제어를 실행하고 유지하는 방법

악성 TimeBrokerClient 구성 요소는 svchost.ini의 RVA에 따라 메모리를 할당하고, msvchost.dat에서 복호화된 셸코드를 해당 위치에 저장한 후 실행합니다. 복호화된 페이로드는 HoldingHands의 압축을 해제하고, HoldingHands는 원격 명령 및 제어(C2) 서버와 통신을 시작합니다. 관찰된 기능은 다음과 같습니다.

• C2에 호스트 정보를 전송합니다.
• 채널을 활성 상태로 유지하기 위해 60초마다 하트비트 메시지를 보냅니다.
• 원격 명령 수신 및 실행(데이터 도용, 임의 명령 실행, 추가 페이로드 가져오기).

• Windows 레지스트리 항목을 통해 운영자가 C2 주소를 업데이트할 수 있는 추가 기능입니다.

타겟팅, 언어 초점 및 가능한 동기

최근 샘플과 유인물은 중국어 사용자 피해자를 중심으로 활동하는 것으로 나타났지만, 이제 지리적 범위는 일본과 말레이시아까지 확대되었습니다. 정찰, 지역 타겟팅, 은밀한 지속 활동, 모듈식 백도어 기능 등 작전 패턴은 해당 지역에서 정보 수집을 하고 있으며, 추가 지시가 있을 때까지 악성코드가 잠복해 있는 경우가 잦음을 시사합니다.

요약

Silver Fox와 연계된 공격자들은 Winos 4.0 활동을 확대하고 HoldingHands RAT을 도구 모음에 추가했습니다. 이들은 세련된 사회 공학(PDF 및 SEO에 악용된 페이지)과 작업 스케줄러 동작 및 TrustedInstaller 권한을 악용하여 탐지를 피하고 지속하는 정교한 다단계 실행 체인을 사용합니다. 이 작전의 역량과 대상 지정 방식은 공격자의 명령을 기다리는 장기 모듈식 임플란트를 이용한 집중적인 지역 정보 수집 활동을 시사합니다.