Vairāku licenču atlaides piedāvājums
Draudu datu bāze Attālās administrēšanas rīki HoldingHands RAT

HoldingHands RAT

Līdz Mezo. gadam Attālās administrēšanas rīki, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Aiz Winos 4.0 ļaunprogrammatūras saimes (sauktas arī par ValleyRAT) stāvošie apdraudējumu dalībnieki ir paplašinājuši savu darbību ārpus Ķīnas un Taivānas, mērķējot uz Japānu un Malaiziju. Šajās nesenajās kampaņās grupa izplatīja otru attālās piekļuves Trojas zirgu (RAT), kas identificēts kā HoldingHands (jeb Gh0stBins), kā galveno vektoru izmantojot sociāli modificētus pikšķerēšanas dokumentus.

Kā kampaņa izplatās

Uzbrucēji izplata ļaunprogrammatūru, izmantojot pikšķerēšanas e-pastus, kuros iekļauti PDF pielikumi ar iegultām ļaunprātīgām saitēm. PDF faili atdarina oficiālu saziņu — dažos gadījumos tie izliekas par Finanšu ministrijas dokumentiem — un satur vairākas saites, no kurām tikai viena ved uz ļaunprātīgu lejupielādi. Citos gadījumos ēsma ir tīmekļa lapa (piemēram, japāņu valodas lapa, kas mitināta ar URL, piemēram, “twsww[.]xin/download[.]html”), kas aicina upurus ielādēt ZIP arhīvu, kurā ir RAT.

Izplatīšanas metodes un attiecināšana

Winos 4.0 parasti tiek izplatīts, izmantojot pikšķerēšanas un SEO saindēšanas kampaņas, kas novirza upurus uz viltotām lejupielādes lapām, kuras izliekas par likumīgu programmatūru (novēroto piemēru vidū ir viltoti instalētāji Google Chrome, Telegram, Youdao, Sogou AI, WPS Office un DeepSeek). Drošības pētnieki saista Winos izmantošanu ar agresīvu kibernoziedznieku klasteri, kas pazīstams kā Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 un Void Arachne. 2025. gada septembrī pētnieki ziņoja, ka šis dalībnieks ļaunprātīgi izmantoja iepriekš nedokumentētu neaizsargātu draiveri, kas bija komplektā ar pārdevēja produktu WatchDog Anti-malware, izmantojot BYOVD (Bring Your Own Vulnerable Driver — Paņemiet savu neaizsargāto draiveri) metodi, lai atspējotu galapunktu aizsardzību. Iepriekš (2025. gada augustā) grupa izmantoja SEO saindēšanu, lai izplatītu HiddenGh0st un Winos moduļus, un jūnijā tika ziņots par dokumentētu Silver Fox gadījumu, kad tika izmantoti slazdos ievietoti PDF faili, lai veiktu daudzpakāpju infekcijas, kas galu galā ieviesa HoldingHands RAT. Vēsturisku ēsmu vidū ir ar nodokļiem saistīti Excel faili, kas izmantoti pret Ķīnu kopš 2024. gada marta; nesenākie centieni ir pārorientēti uz pikšķerēšanas lapām, kuru mērķauditorija ir Malaizija.

Daudzpakāpju infekcija un noturība

Infekcija parasti sākas ar izpildāmu failu, kas maskējas kā akcīzes audits vai cits oficiāls dokuments. Šis izpildāmais fails ielādē ļaunprātīgu DLL, kas darbojas kā apvalkkoda ielādētājs lietderīgajai slodzei ar nosaukumu “sw.dat”. Ielādētājs veic vairākas antianalīzes un aizsardzības darbības — anti-VM pārbaudes, skenē darbojošos procesus, meklējot zināmus drošības produktus, un tos pārtrauc, palielina privilēģijas un atspējo Windows uzdevumu plānotāju —, pirms nodod kontroli nākamajiem posmiem.

Sistēmā ievietotie novērotie faili:

  • svchost.ini — satur RVA pakalpojumam VirtualAlloc.
  • TimeBrokerClient.dll (likumīgais TimeBrokerClient.dll pārdēvēts par BrokerClientCallback.dll).
  • msvchost.dat — šifrēts čaulas kods.
  • system.dat — šifrēta lietderīgā slodze.
  • wkscli.dll — neizmantots/vietturis DLL.

Uzdevumu plānotāja aktivizētājs un slepena aktivizēšana

Tā vietā, lai paļautos uz tiešu procesa palaišanu, kampaņa izmanto Windows uzdevumu plānotāja darbību: uzdevumu plānotājs darbojas kā pakalpojums ar svchost.exe un pēc noklusējuma ir konfigurēts restartēties neilgi pēc kļūmes. Ļaunprogramma maina failus tā, lai, restartējot uzdevumu plānotāja pakalpojumu, svchost.exe ielādētu ļaunprātīgo failu TimeBrokerClient.dll (pārdēvēts par BrokerClientCallback.dll). Šis DLL piešķir atmiņu šifrētajam apvalka kodam, izmantojot VirtualAlloc adresi, kas saglabāta svchost.ini failā, pēc tam liek msvchost.dat atšifrēt system.dat un iegūt HoldingHands lietderīgo slodzi. Šis aktivizētājs “pakalpojuma restartēšana → DLL ielāde” samazina nepieciešamību pēc tiešas procesa izpildes un sarežģī uz uzvedību balstītu noteikšanu.

Privilēģiju eskalācija pakalpojumam TrustedInstaller

Lai iegūtu atļaujas, kas nepieciešamas aizsargātu sistēmas komponentu pārdēvēšanai un aizstāšanai (piemēram, īstā TimeBrokerClient.dll pārdēvēšanai), ielādētājs personificē sistēmas kontus ar augstām privilēģijām. Novērotā secība ir šāda:

  • Iespējojiet SeDebugPrivilege, lai piekļūtu Winlogon procesam un tā marķierim.
  • Pieņemiet Winlogon marķieri, lai darbotos kā SYSTEM.
  • No SISTĒMAS iegūstiet TrustedInstaller drošības kontekstu — kontu, ko Windows resursu aizsardzība izmanto kritisku OS failu aizsardzībai.
  • Izmantojot šo TrustedInstaller kontekstu, ļaunprogrammatūra var modificēt aizsargātus failus mapē C:\Windows\System32 (darbība, kas parasti ir ierobežota pat administratoriem).

Kā lietderīgā slodze tiek izpildīta un saglabā kontroli

Ļaunprātīgā TimeBrokerClient komponente piešķir atmiņu atbilstoši RVA failā svchost.ini, ievieto tur atšifrēto apvalka kodu no msvchost.dat un palaiž to. Atšifrētā slodze izpako HoldingHands, kas pēc tam izveido saziņu ar attālo komandu un vadības (C2) serveri. Novērotās iespējas ietver:

  • Resursdatora informācijas nosūtīšana uz C2.
  • Sirdsdarbības ziņojumu sūtīšana ik pēc 60 sekundēm, lai uzturētu kanālu dzīvu.
  • Attālinātu komandu saņemšana un izpilde (datu zādzība, patvaļīga komandu izpilde, papildu vērtuma izgūšana).
  • Papildu funkcija, kas ļauj operatoram atjaunināt C2 adresi, izmantojot Windows reģistra ierakstu.

Mērķauditorijas atlase, valodas fokuss un iespējamais motīvs

Jaunākie paraugi un ēsmas liecina, ka uzmanība tiek pievērsta ķīniešu valodas upuriem, lai gan ģeogrāfiskais tvērums tagad ietver Japānu un Malaiziju. Darbības modeļi — izlūkošana, reģionālā mērķēšana, nemanāma noturība un modulāra aizmugurējo durvju funkcionalitāte — norāda uz izlūkdienestu vākšanu reģionā, implantiem bieži vien paliekot neaktīviem, gaidot turpmākus norādījumus.

Kopsavilkums

Ar Silver Fox saistītie operatori ir paplašinājuši Winos 4.0 aktivitāti un savam rīku komplektam pievienojuši HoldingHands RAT, izmantojot izsmalcinātu sociālo inženieriju (PDF failus un SEO saindētas lapas) un sarežģītu daudzpakāpju izpildes ķēdi, kas ļaunprātīgi izmanto uzdevumu plānotāja darbību un TrustedInstaller privilēģijas, lai saglabātu savu klātbūtni un izvairītos no atklāšanas. Operācijas iespējas un mērķauditorijas atlase liecina par mērķtiecīgu reģionālu izlūkdatu vākšanas centienu ar ilgstošiem, modulāriem implantiem, kas gaida operatoru komandas.

Tendences

American Express — pierakstīšanās mēģinājums tika...

Pikšķerēšana, Mēstules
Kibernoziedznieki bieži izmanto uzticamu zīmolu atpazīstamību, lai pievilinātu neko nenojaušošus lietotājus atklāt sensitīvu informāciju. Krāpniecība “American Express — pierakstīšanās mēģinājums tika bloķēts” ir spilgts šīs taktikas piemērs. Šie e-pasti atdarina American Express drošības brīdinājumus, apgalvojot, ka aizdomīgs pierakstīšanās mēģinājums ir bloķēts, un mudinot saņēmēju...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,536
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...