Rabatttilbud for flere lisenser
Trusseldatabase Fjernadministrasjonsverktøy Holdende hender RAT

Holdende hender RAT

Med Mezo i Fjernadministrasjonsverktøy, Advanced Persistent Threat (APT)
Oversett til:

Trusselaktørene bak Winos 4.0-skadevarefamilien (også sporet som ValleyRAT) har utvidet operasjonene sine utover Kina og Taiwan til å målrette Japan og Malaysia. I disse nylige kampanjene leverte gruppen en andre fjerntilgangstrojaner (RAT) identifisert som HoldingHands (også kjent som Gh0stBins), ved å bruke sosialt konstruerte phishing-dokumenter som den primære vektoren.

Hvordan kampanjen sprer seg

Angripere distribuerer skadevaren gjennom phishing-e-poster som inneholder PDF-vedlegg med innebygde ondsinnede lenker. PDF-filene utgir seg for å være offisiell kommunikasjon – i noen tilfeller utgir de seg for å være dokumenter fra Finansdepartementet – og inneholder flere lenker, hvorav bare én fører til den ondsinnede nedlastingen. I andre tilfeller er lokkemiddelet en nettside (for eksempel en japanskspråklig side som ligger på en URL som 'twsww[.]xin/download[.]html') som ber ofrene om å hente et ZIP-arkiv som inneholder RAT-filen.

Distribusjonsmetoder og attribusjon

Winos 4.0 spres ofte via phishing- og SEO-forgiftningskampanjer som omdirigerer ofre til falske nedlastingssider som utgir seg for å være legitim programvare (eksempler observert inkluderer forfalskede installasjonsprogrammer for Google Chrome, Telegram, Youdao, Sogou AI, WPS Office og DeepSeek). Sikkerhetsforskere knytter bruken av Winos til en aggressiv nettkriminell klynge kjent som Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 og Void Arachne. I september 2025 rapporterte forskere at denne aktøren misbrukte en tidligere udokumentert sårbar driver samlet med et leverandørprodukt kalt WatchDog Anti-malware i en BYOVD-teknikk (Bring Your Own Vulnerable Driver) for å deaktivere endepunktbeskyttelse. Tidligere (august 2025) brukte gruppen SEO-forgiftning for å spre HiddenGh0st- og Winos-moduler, og i juni rapporterte de at Silver Fox brukte fellede PDF-er for å iscenesette flertrinnsinfeksjoner som til slutt distribuerte HoldingHands RAT. Historiske lokkemidler inkluderer skatterelaterte Excel-filer brukt mot Kina helt tilbake til mars 2024; den siste tidens innsats har gått over til malaysiske phishing-landingssider.

Flertrinnsinfeksjon og persistens

Infeksjonen starter vanligvis med en kjørbar fil som utgir seg for å være en avgiftsrevisjon eller et annet offisielt dokument. Den kjørbare filen sidelaster en ondsinnet DLL, som fungerer som en skallkodelaster for en nyttelast kalt «sw.dat». Lasteren utfører flere antianalyse- og defensive handlinger – anti-VM-kontroller, skanning av kjørende prosesser for kjente sikkerhetsprodukter og avslutning av dem, eskalering av rettigheter og deaktivering av Windows Oppgaveplanlegger – før kontrollen overføres til påfølgende stadier.

Filer observert som ble slettet til systemet:

  • svchost.ini – inneholder RVA-en for VirtualAlloc.
  • TimeBrokerClient.dll (den legitime TimeBrokerClient.dll-filen har fått nytt navn til BrokerClientCallback.dll).
  • msvchost.dat - kryptert skallkode.
  • system.dat — kryptert nyttelast.
  • wkscli.dll — ubrukt/plassholder-DLL.

Oppgaveplanleggerutløser og skjult aktivering

I stedet for å stole på en eksplisitt prosessstart, utnytter kampanjen Windows Task Scheduler-virkemåte: Task Scheduler kjører som en tjeneste under svchost.exe og er som standard konfigurert til å starte på nytt kort tid etter feil. Skadevaren endrer filer slik at når Task Scheduler-tjenesten starter på nytt, laster svchost.exe den skadelige TimeBrokerClient.dll (omdøpt til BrokerClientCallback.dll). Denne DLL-en tildeler minne for den krypterte skallkoden ved hjelp av VirtualAlloc-adressen som er lagret i svchost.ini, og får deretter msvchost.dat til å dekryptere system.dat og pakke ut HoldingHands-nyttelasten. Denne utløseren «tjenestestart → DLL-lasting» reduserer behovet for direkte prosessutførelse og kompliserer virkemåtebasert deteksjon.

Rettighetseskalering til TrustedInstaller

For å få tillatelsene som er nødvendige for å gi nytt navn til og erstatte beskyttede systemkomponenter (for eksempel gi nytt navn til den ekte TimeBrokerClient.dll), imiterer lasteren systemkontoer med høye rettigheter. Sekvensen som observeres er:

  • Aktiver SeDebugPrivilege for å få tilgang til Winlogon-prosessen og dens token.
  • Adopter Winlogon-tokenet til å kjøre som SYSTEM.
  • Fra SYSTEM, hent en TrustedInstaller-sikkerhetskontekst – kontoen som brukes av Windows Resource Protection til å beskytte kritiske OS-filer.
  • Ved å bruke den TrustedInstaller-konteksten kan skadevaren endre beskyttede filer i C:\Windows\System32 (en handling som vanligvis er begrenset selv for administratorer).

Hvordan nyttelasten utfører og opprettholder kontroll

Den skadelige TimeBrokerClient-komponenten allokerer minne i henhold til RVA-en i svchost.ini, plasserer den dekrypterte skallkoden fra msvchost.dat der og kjører den. Den dekrypterte nyttelasten pakker ut HoldingHands, som deretter etablerer kommunikasjon med en ekstern kommando- og kontrollserver (C2). Observerte funksjoner inkluderer:

  • Sender vertsinformasjon til C2.
  • Sender hjerteslagmeldinger hvert 60. sekund for å holde kanalen i live.
  • Motta og utføre fjernkommandoer (datatyveri, vilkårlig kommandoutførelse, henting av ekstra nyttelast).
  • En tilleggsfunksjon som lar operatøren oppdatere C2-adressen via en Windows-registeroppføring.

Målretting, språkfokus og sannsynlig motiv

Nylige prøver og lokkemidler indikerer et fokus på kinesiskspråklige ofre, selv om det geografiske omfanget nå inkluderer Japan og Malaysia. De operative mønstrene – rekognosering, regional målretting, snikende utholdenhet og modulær bakdørfunksjonalitet – peker på etterretningsinnsamling i regionen, med implantater som ofte blir liggende inaktive i påvente av ytterligere instruksjoner.

Sammendrag

Operatører med tilknytning til Silver Fox har utvidet Winos 4.0-aktiviteten og lagt til HoldingHands RAT i verktøysettet sitt, ved hjelp av polert sosial manipulering (PDF-er og SEO-forgiftede sider) og en sofistikert flertrinns utførelseskjede som misbruker Oppgaveplanleggerens oppførsel og TrustedInstaller-rettigheter for å vedvare og unngå deteksjon. Operasjonens muligheter og målretting antyder en fokusert regional innsats for etterretningsinnsamling med langvarige, modulære implantater som venter på operatørkommandoer.

Trender

Mest sett

Laster inn...