Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Alat Pentadbiran Jauh HoldingHands RAT

HoldingHands RAT

Menjelang Mezo pada Alat Pentadbiran Jauh, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Pelakon ancaman di sebalik keluarga perisian hasad Winos 4.0 (juga dijejaki sebagai ValleyRAT) telah melanjutkan operasi mereka melangkaui China dan Taiwan untuk menyasarkan Jepun dan Malaysia. Dalam kempen terbaru ini, kumpulan itu menghantar trojan akses jauh (RAT) kedua yang dikenal pasti sebagai HoldingHands (aka Gh0stBins), menggunakan dokumen pancingan data yang direka bentuk secara sosial sebagai vektor utama.

Bagaimana Kempen Merebak

Penyerang mengedarkan perisian hasad melalui e-mel pancingan data yang termasuk lampiran PDF dengan pautan hasad terbenam. PDF menyamar sebagai komunikasi rasmi — dalam beberapa kes, menyamar sebagai dokumen Kementerian Kewangan — dan mengandungi berbilang pautan, hanya satu daripadanya membawa kepada muat turun berniat jahat. Dalam kejadian lain, gewang ialah halaman web (contohnya, halaman bahasa Jepun yang dihoskan pada URL seperti 'twsww[.]xin/download[.]html') yang menggesa mangsa untuk mengambil arkib ZIP yang mengandungi RAT.

Kaedah Pengedaran Dan Atribusi

Winos 4.0 biasanya disebarkan melalui kempen pancingan data dan keracunan SEO yang mengubah hala mangsa ke halaman muat turun palsu yang menyamar sebagai perisian yang sah (contoh yang diperhatikan termasuk pemasang palsu untuk Google Chrome, Telegram, Youdao, Sogou AI, WPS Office dan DeepSeek). Penyelidik keselamatan mengaitkan penggunaan Winos kepada gugusan penjenayah siber yang agresif yang dikenali sebagai Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 dan Void Arachne. Pada September 2025, penyelidik melaporkan pelakon ini menyalahgunakan pemandu terdedah yang tidak berdokumen sebelum ini yang digabungkan dengan produk vendor yang dipanggil WatchDog Anti-malware dalam teknik BYOVD (Bring Your Own Vulnerable Driver) untuk melumpuhkan perlindungan titik akhir. Terdahulu (Ogos 2025), kumpulan itu menggunakan keracunan SEO untuk menyebarkan modul HiddenGh0st dan Winos, dan laporan Jun mendokumentasikan Silver Fox menggunakan PDF yang terperangkap samar untuk menimbulkan jangkitan berbilang langkah yang akhirnya menggunakan HoldingHands RAT. Gewang bersejarah termasuk fail Excel bertemakan cukai yang digunakan terhadap China sejak Mac 2024; usaha baru-baru ini beralih ke halaman pendaratan pancingan data yang disasarkan Malaysia.

Jangkitan Berbilang Peringkat Dan Kegigihan

Jangkitan biasanya bermula dengan penyamaran boleh laku sebagai audit eksais atau dokumen rasmi lain. Muatan sisi boleh laku itu memuat DLL berniat jahat, yang bertindak sebagai pemuat kod shell untuk muatan bernama 'sw.dat.' Pemuat melakukan beberapa tindakan anti-analisis dan pertahanan — pemeriksaan anti-VM, mengimbas proses yang dijalankan untuk produk keselamatan yang diketahui dan menamatkannya, meningkatkan keistimewaan dan melumpuhkan Penjadual Tugas Windows — sebelum menyerahkan kawalan ke peringkat seterusnya.

Fail yang diperhatikan digugurkan ke sistem:

  • svchost.ini — mengandungi RVA untuk VirtualAlloc.
  • TimeBrokerClient.dll (TimeBrokerClient.dll yang sah dinamakan semula kepada BrokerClientCallback.dll).
  • msvchost.dat — kod shell yang disulitkan.
  • system.dat — muatan yang disulitkan.
  • wkscli.dll — DLL yang tidak digunakan/pemegang tempat.

Pencetus Penjadual Tugasan Dan Pengaktifan Senyap

Daripada bergantung pada pelancaran proses yang eksplisit, kempen ini memanfaatkan tingkah laku Penjadual Tugas Windows: Penjadual Tugasan berjalan sebagai perkhidmatan di bawah svchost.exe dan secara lalai dikonfigurasikan untuk dimulakan semula sejurus selepas kegagalan. Perisian hasad mengubah fail supaya apabila perkhidmatan Penjadual Tugas dimulakan semula, svchost.exe memuatkan TimeBrokerClient.dll yang berniat jahat (dinamakan semula BrokerClientCallback.dll). DLL itu memperuntukkan memori untuk shellcode yang disulitkan menggunakan alamat VirtualAlloc yang disimpan dalam svchost.ini, kemudian menyebabkan msvchost.dat menyahsulit system.dat dan mengekstrak muatan HoldingHands. Pencetus 'perkhidmatan mula semula → beban DLL' ini mengurangkan keperluan untuk pelaksanaan proses terus dan merumitkan pengesanan berasaskan tingkah laku.

Peningkatan Keistimewaan Kepada Pemasang Dipercayai

Untuk mendapatkan kebenaran yang diperlukan untuk menamakan semula dan menggantikan komponen sistem yang dilindungi (contohnya, menamakan semula TimeBrokerClient.dll tulen), pemuat menyamar sebagai akaun sistem keistimewaan tinggi. Urutan yang diperhatikan ialah:

  • Dayakan SeDebugPrivilege untuk mengakses proses Winlogon dan tokennya.
  • Gunakan token Winlogon untuk dijalankan sebagai SYSTEM.
  • Daripada SYSTEM, dapatkan konteks keselamatan TrustedInstaller — akaun yang digunakan oleh Windows Resource Protection untuk menjaga fail OS kritikal.
  • Menggunakan konteks TrustedInstaller itu, perisian hasad boleh mengubah suai fail yang dilindungi dalam C:\Windows\System32 (tindakan yang biasanya dihadkan walaupun untuk pentadbir).

Bagaimana Muatan Melaksanakan Dan Mengekalkan Kawalan

Komponen TimeBrokerClient yang berniat jahat memperuntukkan memori bagi setiap RVA dalam svchost.ini, meletakkan kod shell yang dinyahsulit daripada msvchost.dat di sana dan menjalankannya. Muatan yang dinyahsulit membongkar HoldingHands, yang kemudiannya mewujudkan komunikasi dengan pelayan arahan dan kawalan jauh (C2). Keupayaan yang diperhatikan termasuk:

  • Menghantar maklumat hos kepada C2.
  • Menghantar mesej degupan jantung setiap 60 saat untuk memastikan saluran terus hidup.
  • Menerima dan melaksanakan arahan jauh (kecurian data, pelaksanaan arahan sewenang-wenangnya, mengambil muatan tambahan).
  • Ciri tambahan yang membolehkan pengendali mengemas kini alamat C2 melalui entri Windows Registry.

Penyasaran, Fokus Bahasa dan Motif Berkemungkinan

Sampel dan gewang terkini menunjukkan tumpuan kepada mangsa bahasa Cina, walaupun skop geografi kini termasuk Jepun dan Malaysia. Corak operasi — peninjauan, penyasaran serantau, ketekunan senyap dan kefungsian pintu belakang modular — menunjukkan pengumpulan risikan di rantau ini, dengan implan kerap dibiarkan tidak aktif menunggu arahan selanjutnya.

Ringkasan

Pengendali berkaitan Silver Fox telah mengembangkan aktiviti Winos 4.0 dan menambahkan HoldingHands RAT pada set alat mereka, menggunakan kejuruteraan sosial yang digilap (halaman beracun PDF dan SEO) dan rantai pelaksanaan berbilang peringkat canggih yang menyalahgunakan kelakuan Penjadual Tugas dan keistimewaan TrustedInstaller untuk berterusan dan mengelakkan pengesanan. Keupayaan dan penyasaran operasi mencadangkan usaha pengumpulan perisikan serantau yang tertumpu dengan implan modular yang tahan lama menunggu arahan pengendali.

Trending

Paling banyak dilihat

Memuatkan...