होल्डिङह्यान्ड्स RAT

Winos 4.0 मालवेयर परिवार (ValleyRAT को रूपमा पनि ट्र्याक गरिएको) पछाडिका खतरा अभिनेताहरूले जापान र मलेसियालाई लक्षित गर्न चीन र ताइवानभन्दा बाहिर आफ्नो कार्यहरू विस्तार गरेका छन्। यी हालैका अभियानहरूमा, समूहले प्राथमिक भेक्टरको रूपमा सामाजिक रूपमा इन्जिनियर गरिएका फिसिङ कागजातहरू प्रयोग गर्दै होल्डिङह्यान्ड्स (उर्फ Gh0stBins) को रूपमा पहिचान गरिएको दोस्रो रिमोट-एक्सेस ट्रोजन (RAT) डेलिभर गर्यो।

अभियान कसरी फैलिन्छ

आक्रमणकारीहरूले फिसिङ इमेलहरू मार्फत मालवेयर वितरण गर्छन् जसमा एम्बेडेड मालिसियस लिङ्कहरू सहितको PDF संलग्नकहरू समावेश हुन्छन्। PDF हरूले आधिकारिक सञ्चारहरूको प्रतिरूपण गर्छन् - केही अवस्थामा, अर्थ मन्त्रालयका कागजातहरूको रूपमा प्रस्तुत गर्छन् - र धेरै लिङ्कहरू समावेश गर्दछन्, जसमध्ये एउटा मात्र मालिसियस डाउनलोडमा जान्छ। अन्य घटनाहरूमा, प्रलोभन भनेको वेब पृष्ठ हो (उदाहरणका लागि, 'twsww[.]xin/download[.]html' जस्तो URL मा होस्ट गरिएको जापानी भाषाको पृष्ठ) जसले पीडितहरूलाई RAT भएको ZIP अभिलेख ल्याउन प्रेरित गर्दछ।

वितरण विधि र श्रेय

Winos 4.0 लाई सामान्यतया फिसिङ र SEO-विषाक्त अभियानहरू मार्फत प्रचार गरिन्छ जसले पीडितहरूलाई वैध सफ्टवेयरको रूपमा प्रस्तुत गर्ने नक्कली डाउनलोड पृष्ठहरूमा रिडिरेक्ट गर्दछ (उदाहरणहरू अवलोकन गरिएका गुगल क्रोम, टेलिग्राम, Youdao, Sogou AI, WPS Office, र DeepSeek का लागि नक्कली स्थापनाकर्ताहरू समावेश छन्)। सुरक्षा अनुसन्धानकर्ताहरूले Winos को प्रयोगलाई सिल्भर फक्स, स्विमस्नेक, भ्याली थिफ (द ग्रेट थिफ अफ भ्याली), UTG-Q-1000, र Void Arachne को रूपमा चिनिने आक्रामक साइबर अपराध समूहसँग जोड्छन्। सेप्टेम्बर २०२५ मा, अनुसन्धानकर्ताहरूले यस अभिनेताले BYOVD (Bring Your Own Vulnerable Driver) प्रविधिमा अन्तिम बिन्दु सुरक्षा असक्षम पार्न WatchDog एन्टी-मालवेयर नामक विक्रेता उत्पादनसँग बन्डल गरिएको पहिले कागजात नगरिएको कमजोर ड्राइभरको दुरुपयोग गरेको रिपोर्ट गरे। पहिले (अगस्ट २०२५), समूहले HiddenGh0st र Winos मोड्युलहरू फैलाउन SEO विषाक्तता प्रयोग गर्‍यो, र जून रिपोर्टिङले सिल्भर फक्सलाई बूबी-ट्र्याप्ड PDF हरू प्रयोग गरेर बहु-चरण संक्रमणहरू चरणबद्ध गर्न दस्तावेजीकरण गरेको थियो जसले अन्ततः HoldingHands RAT तैनाथ गर्‍यो। ऐतिहासिक प्रलोभनहरूमा मार्च २०२४ मा चीन विरुद्ध प्रयोग गरिएका कर-थीम एक्सेल फाइलहरू समावेश छन्; हालैका प्रयासहरू मलेसियाली-लक्षित फिसिङ ल्यान्डिङ पृष्ठहरूमा सारिएका छन्।

बहु-चरण संक्रमण र निरन्तरता

संक्रमण सामान्यतया उत्पादन शुल्क अडिट वा अन्य आधिकारिक कागजातको रूपमा एक्जिक्युटेबल मास्करेडिङबाट सुरु हुन्छ। त्यो एक्जिक्युटेबलले एक मालिसियस DLL लाई साइडलोड गर्छ, जसले 'sw.dat' नामक पेलोडको लागि शेलकोड लोडरको रूपमा काम गर्छ। लोडरले धेरै एन्टी-एनालिसिस र डिफेन्सिभ कार्यहरू गर्दछ - एन्टी-VM जाँचहरू, ज्ञात सुरक्षा उत्पादनहरूको लागि चलिरहेको प्रक्रियाहरू स्क्यान गर्ने र तिनीहरूलाई समाप्त गर्ने, विशेषाधिकारहरू बढाउने, र विन्डोज टास्क शेड्युलरलाई असक्षम पार्ने - पछिल्ला चरणहरूमा नियन्त्रण हस्तान्तरण गर्नु अघि।

प्रणालीमा खसालिएका अवलोकन गरिएका फाइलहरू:

• svchost.ini — मा VirtualAlloc को लागि RVA समावेश छ।
• TimeBrokerClient.dll (वैध TimeBrokerClient.dll लाई BrokerClientCallback.dll मा पुन: नामाकरण गरिएको)।

कार्य अनुसूचक ट्रिगर र चुपचाप सक्रियता

स्पष्ट प्रक्रिया सुरुवातमा भर पर्नुको सट्टा, अभियानले Windows Task Scheduler व्यवहारको फाइदा उठाउँछ: Task Scheduler svchost.exe अन्तर्गत सेवाको रूपमा चल्छ र पूर्वनिर्धारित रूपमा असफलता पछि तुरुन्तै पुन: सुरु गर्न कन्फिगर गरिएको हुन्छ। मालवेयरले फाइलहरू परिवर्तन गर्दछ ताकि जब Task Scheduler सेवा पुन: सुरु हुन्छ, svchost.exe ले दुर्भावनापूर्ण TimeBrokerClient.dll (BrokerClientCallback.dll नामकरण गरिएको) लोड गर्दछ। त्यो DLL ले svchost.ini मा भण्डारण गरिएको VirtualAlloc ठेगाना प्रयोग गरेर एन्क्रिप्टेड शेलकोडको लागि मेमोरी आवंटित गर्दछ, त्यसपछि msvchost.dat लाई system.dat डिक्रिप्ट गर्न र HoldingHands पेलोड निकाल्न बाध्य पार्छ। यो 'सेवा पुन: सुरु → DLL लोड' ट्रिगरले प्रत्यक्ष प्रक्रिया कार्यान्वयनको आवश्यकतालाई कम गर्छ र व्यवहार-आधारित पत्ता लगाउन जटिल बनाउँछ।

ट्रस्टेड इन्स्टलरमा विशेषाधिकार वृद्धि

संरक्षित प्रणाली कम्पोनेन्टहरूको नाम परिवर्तन गर्न र प्रतिस्थापन गर्न आवश्यक अनुमतिहरू प्राप्त गर्न (उदाहरणका लागि, वास्तविक TimeBrokerClient.dll को नाम परिवर्तन गर्दै), लोडरले उच्च-विशेषाधिकार प्रणाली खाताहरूको प्रतिरूपण गर्दछ। अवलोकन गरिएको अनुक्रम यो हो:

• Winlogon प्रक्रिया र यसको टोकन पहुँच गर्न SeDebugPrivilege सक्षम गर्नुहोस्।
• SYSTEM को रूपमा चलाउन Winlogon टोकन अपनाउनुहोस्।
• SYSTEM बाट, TrustedInstaller सुरक्षा सन्दर्भ प्राप्त गर्नुहोस् — Windows Resource Protection द्वारा महत्वपूर्ण OS फाइलहरू सुरक्षित गर्न प्रयोग गरिने खाता।
• त्यो TrustedInstaller सन्दर्भ प्रयोग गरेर, मालवेयरले C:\Windows\System32 (सामान्यतया प्रशासकहरूको लागि पनि प्रतिबन्धित कार्य) मा सुरक्षित फाइलहरू परिमार्जन गर्न सक्छ।

पेलोडले कसरी नियन्त्रण गर्छ र कायम राख्छ

दुर्भावनापूर्ण TimeBrokerClient कम्पोनेन्टले svchost.ini मा RVA अनुसार मेमोरी आवंटित गर्छ, msvchost.dat बाट डिक्रिप्ट गरिएको शेलकोड त्यहाँ राख्छ, र यसलाई चलाउँछ। डिक्रिप्ट गरिएको पेलोडले HoldingHands लाई अनप्याक गर्छ, जसले त्यसपछि रिमोट कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार स्थापना गर्छ। अवलोकन गरिएका क्षमताहरूमा समावेश छन्:

• C2 मा होस्ट जानकारी पठाउँदै।
• च्यानललाई जीवित राख्न प्रत्येक ६० सेकेन्डमा मुटुको धड्कन सन्देशहरू पठाउँदै।

लक्ष्यीकरण, भाषा केन्द्रितता, र सम्भावित उद्देश्य

हालैका नमूनाहरू र प्रलोभनहरूले चिनियाँ भाषाका पीडितहरूमा ध्यान केन्द्रित गरेको संकेत गर्दछ, यद्यपि भौगोलिक दायरामा अब जापान र मलेसिया समावेश छन्। परिचालन ढाँचाहरू - टोही, क्षेत्रीय लक्ष्यीकरण, लुकेको दृढता, र मोड्युलर ब्याकडोर कार्यक्षमता - ले यस क्षेत्रमा गुप्तचर सङ्कलनलाई औंल्याउँछ, प्रत्यारोपणहरू प्रायः थप निर्देशनहरू नभएसम्म निष्क्रिय छोडिन्छन्।

निष्कर्षमा

सिल्भर फक्स-लिङ्क गरिएका अपरेटरहरूले Winos 4.0 गतिविधि विस्तार गरेका छन् र आफ्नो उपकरणसेटमा HoldingHands RAT थपेका छन्, पालिश गरिएको सामाजिक-इन्जिनियरिङ (PDF र SEO-विषाक्त पृष्ठहरू) र एक परिष्कृत बहु-चरण कार्यान्वयन श्रृंखला प्रयोग गरेर जसले पत्ता लगाउन र पत्ता लगाउनबाट बच्न टास्क शेड्युलर व्यवहार र TrustedInstaller विशेषाधिकारहरूको दुरुपयोग गर्दछ। अपरेशनको क्षमता र लक्ष्यीकरणले अपरेटर आदेशहरूको लागि पर्खिरहेका लामो समयसम्म टिक्ने, मोड्युलर इम्प्लान्टहरूको साथ केन्द्रित क्षेत्रीय खुफिया सङ्कलन प्रयासको सुझाव दिन्छ।