Oferta rabatowa na wiele licencji
Baza danych zagrożeń Narzędzia do zdalnej administracji HoldingHands RAT

HoldingHands RAT

Do Mezo w Narzędzia do zdalnej administracji, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Aktorzy stojący za rodziną złośliwego oprogramowania Winos 4.0 (znaną również jako ValleyRAT) rozszerzyli swoją działalność poza Chiny i Tajwan, atakując Japonię i Malezję. W ostatnich kampaniach grupa dostarczyła drugiego trojana zdalnego dostępu (RAT) zidentyfikowanego jako HoldingHands (znanego również jako Gh0stBins), wykorzystującego socjotechniczne dokumenty phishingowe jako główny wektor ataku.

Jak rozprzestrzenia się kampania

Atakujący rozpowszechniają złośliwe oprogramowanie za pośrednictwem wiadomości e-mail typu phishing, które zawierają załączniki PDF z osadzonymi złośliwymi linkami. Pliki PDF podszywają się pod oficjalne komunikaty – w niektórych przypadkach pod dokumenty Ministerstwa Finansów – i zawierają wiele linków, z których tylko jeden prowadzi do pobrania złośliwego oprogramowania. W innych przypadkach przynętą jest strona internetowa (na przykład japońskojęzyczna strona hostowana pod adresem URL takim jak „twsww[.]xin/download[.]html”), która zachęca ofiary do pobrania archiwum ZIP zawierającego RAT.

Metody dystrybucji i atrybucja

Winos 4.0 jest powszechnie rozprzestrzeniany za pośrednictwem kampanii phishingowych i zatruwania SEO, które przekierowują ofiary na fałszywe strony pobierania podszywające się pod legalne oprogramowanie (przykładami są fałszywe instalatory Google Chrome, Telegram, Youdao, Sogou AI, WPS Office i DeepSeek). Badacze bezpieczeństwa łączą użycie Winos z agresywnym klastrem cyberprzestępców znanym pod różnymi nazwami: Silver Fox, SwimSnake, Valley Thief (Wielki Złodziej Doliny), UTG-Q-1000 i Void Arachne. We wrześniu 2025 roku badacze zgłosili, że ten atak wykorzystuje wcześniej nieudokumentowany, podatny na ataki sterownik dołączony do produktu dostawcy o nazwie WatchDog Anti-malware w technice BYOVD (Bring Your Own Vulnerable Driver) w celu wyłączenia ochrony punktów końcowych. Wcześniej (w sierpniu 2025 r.) grupa stosowała zatruwanie SEO do rozprzestrzeniania modułów HiddenGh0st i Winos, a raporty z czerwca udokumentowały, że Silver Fox używał plików PDF z pułapkami do przeprowadzania wieloetapowych infekcji, które ostatecznie doprowadziły do uruchomienia trojana HoldingHands RAT. Historyczne przynęty obejmują pliki Excela o tematyce podatkowej, używane przeciwko Chinom od marca 2024 r.; ostatnie działania przeniosły się na strony docelowe phishingu skierowane do Malezji.

Zakażenie wieloetapowe i przetrwanie

Infekcja zazwyczaj rozpoczyna się od pliku wykonywalnego podszywającego się pod audyt akcyzowy lub inny oficjalny dokument. Ten plik wykonywalny pobiera złośliwą bibliotekę DLL, która działa jako moduł ładujący kod powłoki dla ładunku o nazwie „sw.dat”. Moduł ładujący wykonuje kilka działań anty-analitycznych i obronnych – sprawdza obecność maszyn wirtualnych, skanuje uruchomione procesy w poszukiwaniu znanych zabezpieczeń i zamyka je, zwiększa uprawnienia i wyłącza Harmonogram zadań systemu Windows – zanim przekaże kontrolę kolejnym etapom.

Zaobserwowano, że pliki zostały pobrane z systemu:

  • svchost.ini — zawiera RVA dla VirtualAlloc.
  • TimeBrokerClient.dll (legalny plik TimeBrokerClient.dll przemianowany na BrokerClientCallback.dll).
  • msvchost.dat — zaszyfrowany kod powłoki.
  • system.dat — zaszyfrowany ładunek.
  • wkscli.dll — nieużywana/tymczasowa biblioteka DLL.

Wyzwalacz harmonogramu zadań i dyskretna aktywacja

Zamiast polegać na jawnym uruchomieniu procesu, kampania wykorzystuje zachowanie Harmonogramu zadań systemu Windows: Harmonogram zadań działa jako usługa w ramach pliku svchost.exe i domyślnie jest skonfigurowany do ponownego uruchomienia wkrótce po awarii. Szkodliwe oprogramowanie modyfikuje pliki tak, że po ponownym uruchomieniu usługi Harmonogram zadań svchost.exe ładuje złośliwy plik TimeBrokerClient.dll (przemianowany na BrokerClientCallback.dll). Ten plik DLL przydziela pamięć dla zaszyfrowanego kodu powłoki, używając adresu VirtualAlloc zapisanego w pliku svchost.ini, a następnie powoduje, że plik msvchost.dat odszyfrowuje plik system.dat i wyodrębnia ładunek HoldingHands. Ten wyzwalacz „ponowne uruchomienie usługi → ładowanie biblioteki DLL” zmniejsza potrzebę bezpośredniego wykonywania procesu i komplikuje wykrywanie oparte na zachowaniu.

Eskalacja uprawnień do TrustedInstaller

Aby uzyskać uprawnienia niezbędne do zmiany nazw i zastąpienia chronionych komponentów systemu (na przykład zmiany nazwy oryginalnego pliku TimeBrokerClient.dll), program ładujący podszywa się pod konta systemowe o wysokich uprawnieniach. Sekwencja jest następująca:

  • Włącz SeDebugPrivilege, aby uzyskać dostęp do procesu Winlogon i jego tokena.
  • Użyj tokena Winlogon, aby działać jako SYSTEM.
  • Z poziomu SYSTEMu uzyskaj kontekst zabezpieczeń TrustedInstaller — konto używane przez Ochronę zasobów systemu Windows do ochrony krytycznych plików systemu operacyjnego.
  • Wykorzystując kontekst TrustedInstaller, złośliwe oprogramowanie może modyfikować chronione pliki w C:\Windows\System32 (czynność ta jest zwykle niedozwolona nawet dla administratorów).

Jak ładunek wykonuje zadanie i utrzymuje kontrolę

Złośliwy komponent TimeBrokerClient alokuje pamięć zgodnie z RVA w pliku svchost.ini, umieszcza tam odszyfrowany kod powłoki z pliku msvchost.dat i uruchamia go. Odszyfrowany ładunek rozpakowuje HoldingHands, który następnie nawiązuje komunikację ze zdalnym serwerem poleceń i kontroli (C2). Zaobserwowane możliwości obejmują:

  • Wysyłanie informacji o hoście do C2.
  • Wysyłanie wiadomości „heartbeat” co 60 sekund w celu podtrzymania aktywności kanału.
  • Odbieranie i wykonywanie poleceń zdalnych (kradzież danych, wykonywanie dowolnych poleceń, pobieranie dodatkowych ładunków).
  • Dodatkowa funkcja umożliwiająca operatorowi aktualizację adresu C2 poprzez wpis w rejestrze systemu Windows.

Celowanie, skupienie na języku i prawdopodobny motyw

Ostatnie próbki i wabiki wskazują na koncentrację na ofiarach chińskojęzycznych, choć zasięg geograficzny obejmuje obecnie Japonię i Malezję. Schematy operacyjne – rozpoznanie, namierzanie regionalne, dyskretna obecność i modułowa funkcjonalność backdoora – wskazują na gromadzenie informacji wywiadowczych w regionie, a implanty często pozostają uśpione w oczekiwaniu na dalsze instrukcje.

Streszczenie

Operatorzy powiązani z Silver Fox rozszerzyli aktywność Winos 4.0 i dodali HoldingHands RAT do swojego zestawu narzędzi, wykorzystując dopracowane techniki socjotechniczne (pliki PDF i strony zatrute SEO) oraz zaawansowany, wieloetapowy łańcuch wykonywania, który wykorzystuje działanie Harmonogramu Zadań i uprawnienia TrustedInstaller, aby przetrwać i uniknąć wykrycia. Możliwości i cele operacji sugerują ukierunkowane, regionalne działania wywiadowcze z wykorzystaniem długotrwałych, modułowych implantów czekających na polecenia operatora.

Popularne

American Express – próba logowania została...

Phishing, Spam
Cyberprzestępcy często wykorzystują znajomość zaufanych marek, aby nakłonić niczego niepodejrzewających użytkowników do ujawnienia poufnych informacji. Oszustwo „American Express – próba logowania została zablokowana” jest doskonałym przykładem tej taktyki. Te e-maile podszywają się pod alerty bezpieczeństwa American Express, twierdząc, że podejrzana próba logowania została zablokowana i...

Najczęściej oglądane

Ładowanie...