Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Nuotolinio administravimo įrankiai HoldingHands RAT

HoldingHands RAT

Autorius Mezo, Nuotolinio administravimo įrankiai, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Už „Winos 4.0“ kenkėjiškų programų šeimos (taip pat vadinamos „ValleyRAT“) slypintys grėsmės veikėjai išplėtė savo veiklą už Kinijos ir Taivano ribų, taikydamiesi į Japoniją ir Malaiziją. Per šias pastarąsias kampanijas grupė pristatė antrą nuotolinės prieigos Trojos arklį (RAT), identifikuotą kaip „HoldingHands“ (dar žinomą kaip „Gh0stBins“), kuriame kaip pagrindinį vektorių buvo naudojami socialiai modifikuoti sukčiavimo dokumentai.

Kaip kampanija plinta

Užpuolikai platina kenkėjišką programinę įrangą sukčiavimo el. laiškais, kuriuose yra PDF priedai su įterptomis kenkėjiškomis nuorodomis. PDF failai apsimetinėja oficialiais pranešimais – kai kuriais atvejais jie pateikiami kaip Finansų ministerijos dokumentai – ir juose yra kelios nuorodos, iš kurių tik viena veda į kenkėjišką atsisiuntimą. Kitais atvejais masalas yra tinklalapis (pavyzdžiui, japonų kalbos puslapis, talpinamas tokiu URL adresu kaip „twsww[.]xin/download[.]html“), kuris ragina aukas atsisiųsti ZIP archyvą, kuriame yra RAT virusas.

Platinimo metodai ir priskyrimas

„Winos 4.0“ dažniausiai platinama sukčiavimo ir SEO užkrėtimo kampanijomis, kurios nukreipia aukas į netikrus atsisiuntimo puslapius, apsimetančius teisėta programine įranga (pastebėti pavyzdžiai: padirbti „Google Chrome“, „Telegram“, „Youdao“, „Sogou AI“, „WPS Office“ ir „DeepSeek“ diegimo failai). Saugumo tyrėjai sieja „Winos“ naudojimą su agresyvia kibernetinių nusikaltėlių grupe, žinoma kaip „Silver Fox“, „SwimSnake“, „Valley Thief“ („Didysis slėnio vagis“), UTG-Q-1000 ir „Void Arachne“. 2025 m. rugsėjį tyrėjai pranešė, kad šis veikėjas piktnaudžiauja anksčiau nedokumentuota pažeidžiama tvarkykle, susieta su tiekėjo produktu „WatchDog Anti-malware“, taikydamas BYOVD (Bring Your Own Vulnerable Driver) metodą, kad išjungtų galinių kompiuterių apsaugą. Anksčiau (2025 m. rugpjūtį) grupuotė panaudojo SEO užkrėtimą, kad platintų „HiddenGh0st“ ir „Winos“ modulius, o birželį buvo pranešta apie užfiksuotą „Silver Fox“ ataką, kurioje buvo paslėpti PDF failai, siekiant surengti daugiapakopę infekciją, kurios galiausiai dislokavo „HoldingHands RAT“. Tarp istorinių masalų yra su mokesčiais susiję „Excel“ failai, naudojami prieš Kiniją nuo 2024 m. kovo mėn.; pastaruoju metu pastangos nukreiptos į Malaiziją nukreiptus sukčiavimo puslapius.

Daugiapakopė infekcija ir jos išlikimas

Paprastai užkrėtimas prasideda vykdomuoju failu, kuris apsimeta akcizo auditu ar kitu oficialiu dokumentu. Šis vykdomasis failas įkelia kenkėjišką DLL failą, kuris veikia kaip apvalkalo kodo įkroviklis naudingajai apkrovai, pavadintai „sw.dat“. Įkroviklis atlieka kelis antianalizės ir gynybos veiksmus – anti-VM patikrinimus, veikiančių procesų nuskaitymą ieškant žinomų saugos produktų ir jų nutraukimą, privilegijų eskalavimą ir „Windows“ užduočių planuoklės išjungimą – prieš perduodamas valdymą vėlesniems etapams.

Į sistemą nukritę pastebėti failai:

  • svchost.ini – failas, kuriame yra „VirtualAlloc“ RVA.
  • TimeBrokerClient.dll (teisėtas TimeBrokerClient.dll pervadintas į BrokerClientCallback.dll).
  • msvchost.dat – užšifruotas apvalkalo kodas.
  • system.dat — užšifruota naudingoji apkrova.
  • wkscli.dll — nenaudojamas/vietos rezervavimo DLL.

Užduočių planuoklės paleidiklis ir slaptas aktyvinimas

Užuot pasikliavusi tiesioginiu proceso paleidimu, kampanija naudoja „Windows“ užduočių planuoklės elgseną: užduočių planuoklė veikia kaip paslauga, priklausanti „svchost.exe“, ir pagal numatytuosius nustatymus yra sukonfigūruota paleisti iš naujo netrukus po gedimo. Kenkėjiška programa pakeičia failus taip, kad, paleidus užduočių planuoklės paslaugą iš naujo, „svchost.exe“ įkeltų kenkėjišką „TimeBrokerClient.dll“ (pervadintą „BrokerClientCallback.dll“). Ši DLL skiria atmintį užšifruotam apvalkalo kodui, naudodama „VirtualAlloc“ adresą, saugomą faile „svchost.ini“, tada priverčia „msvchost.dat“ iššifruoti „system.dat“ ir išgauti „HoldingHands“ naudingąją apkrovą. Šis „paslaugos paleidimas iš naujo → DLL įkėlimas“ suaktyvinimas sumažina tiesioginio procesų vykdymo poreikį ir apsunkina elgesiu pagrįstą aptikimą.

Privilegijų eskalavimas „TrustedInstaller“

Norėdamas gauti teises, reikalingas apsaugotiems sistemos komponentams pervardyti ir pakeisti (pvz., pervardyti tikrąją „TimeBrokerClient.dll“), įkrovos programa apsimeta didelių privilegijų sistemos paskyromis. Stebima seka yra tokia:

  • Įgalinkite „SeDebugPrivilege“, kad galėtumėte pasiekti „Winlogon“ procesą ir jo prieigos raktą.
  • Priimkite „Winlogon“ prieigos raktą, kad paleistumėte kaip SYSTEM.
  • Iš SYSTEM gaukite „TrustedInstaller“ saugos kontekstą – paskyrą, kurią „Windows Resource Protection“ naudoja svarbiems OS failams apsaugoti.
  • Naudodama tą „TrustedInstaller“ kontekstą, kenkėjiška programa gali modifikuoti apsaugotus failus aplanke C:\Windows\System32 (veiksmas, kuris paprastai yra draudžiamas net administratoriams).

Kaip naudingoji apkrova vykdoma ir išlaiko kontrolę

Kenkėjiškas „TimeBrokerClient“ komponentas skiria atmintį pagal RVA svchost.ini faile, įkelia ten iššifruotą apvalkalo kodą iš msvchost.dat ir jį paleidžia. Iššifruotas paketas išpakuoja „HoldingHands“, kuris užmezga ryšį su nuotoliniu komandų ir valdymo (C2) serveriu. Stebimos funkcijos:

  • Siunčiama pagrindinio kompiuterio informacija į C2.
  • Siunčiamos širdies ritmo žinutės kas 60 sekundžių, kad kanalas būtų gyvas.
  • Nuotolinių komandų priėmimas ir vykdymas (duomenų vagystė, savavališkas komandų vykdymas, papildomų naudingųjų apkrovų gavimas).
  • Papildoma funkcija, leidžianti operatoriui atnaujinti C2 adresą per „Windows“ registro įrašą.

Tikslinė atranka, kalbos orientacija ir tikėtinas motyvas

Naujausi pavyzdžiai ir jaukai rodo, kad dėmesys sutelktas į kinų kalba kalbančias aukas, nors geografinė aprėptis dabar apima Japoniją ir Malaiziją. Operacijų modeliai – žvalgyba, regioninis taikymas, slaptas atkaklumas ir modulinės „užpakalinių durų“ funkcijos – rodo žvalgybos duomenų rinkimą regione, o implantai dažnai paliekami neveikiantys, kol laukiama tolesnių nurodymų.

Santrauka

Su „Silver Fox“ susiję operatoriai išplėtė „Winos 4.0“ veiklą ir į savo įrankių rinkinį įtraukė „HoldingHands RAT“, naudodami ištobulintą socialinę inžineriją (PDF failus ir SEO užterštus puslapius) bei sudėtingą daugiapakopę vykdymo grandinę, kuri piktnaudžiauja užduočių planuoklės elgsena ir „TrustedInstaller“ privilegijomis, kad išsilaikytų ir išvengtų aptikimo. Operacijos pajėgumai ir taikymas rodo tikslingą regioninę žvalgybos duomenų rinkimo pastangą su ilgai gyvuojančiais, moduliniais implantais, laukiančiais operatorių komandų.

Tendencijos

„American Express“ – prisijungimo bandymas buvo...

Sukčiavimas, Šlamštas
Kibernetiniai nusikaltėliai dažnai išnaudoja patikimų prekių ženklų žinomumą, kad priviliotų nieko neįtariančius vartotojus atskleisti neskelbtiną informaciją. Sukčiavimas „American Express – prisijungimo bandymas buvo užblokuotas“ yra puikus šios taktikos pavyzdys. Šie el. laiškai apsimetinėja „American Express“ saugumo įspėjimais, teigdami, kad įtartinas prisijungimo bandymas buvo...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
33,536
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...