Скидка на мультилицензию
База данных угроз Инструменты удаленного администрирования HoldingHands RAT

HoldingHands RAT

К Mezo году в Инструменты удаленного администрирования, Расширенная постоянная угроза (APT) году
Перевести на:

Злоумышленники, стоящие за семейством вредоносных программ Winos 4.0 (также известным как ValleyRAT), расширили свою деятельность за пределы Китая и Тайваня, нацелившись на Японию и Малайзию. В ходе недавних кампаний группа распространила второй троян удалённого доступа (RAT), идентифицированный как HoldingHands (он же Gh0stBins), используя в качестве основного вектора фишинговые документы, созданные с помощью социальной инженерии.

Как распространяется кампания

Злоумышленники распространяют вредоносное ПО через фишинговые письма, содержащие PDF-вложения со встроенными вредоносными ссылками. PDF-файлы выдают себя за официальные сообщения — в некоторых случаях за документы Министерства финансов — и содержат несколько ссылок, только одна из которых ведёт на вредоносную загрузку. В других случаях приманкой служит веб-страница (например, страница на японском языке, размещённая по URL-адресу вида «twsww[.]xin/download[.]html»), предлагающая жертвам скачать ZIP-архив, содержащий RAT.

Методы распространения и атрибуция

Winos 4.0 обычно распространяется посредством фишинга и SEO-отравления, перенаправляющих жертв на поддельные страницы загрузки, выдаваемые за легальное ПО (среди наблюдаемых примеров – поддельные установщики Google Chrome, Telegram, Youdao, Sogou AI, WPS Office и DeepSeek). Исследователи безопасности связывают использование Winos с агрессивным кластером киберпреступников, известным под именами Silver Fox, SwimSnake, Valley Thief (Великий вор долины), UTG-Q-1000 и Void Arachne. В сентябре 2025 года исследователи сообщили об использовании этим злоумышленником ранее незадокументированного уязвимого драйвера, поставляемого вместе с продуктом поставщика WatchDog Anti-malware, в технике BYOVD (Bring Your Own Vulnerable Driver) для отключения защиты конечных точек. Ранее (в августе 2025 года) группа использовала SEO-заражение для распространения модулей HiddenGh0st и Winos, а в июньском отчёте было задокументировано использование Silver Fox заминированных PDF-файлов для многоэтапного заражения, которое в конечном итоге приводило к запуску RAT HoldingHands. Среди исторических приманок — файлы Excel с налоговой тематикой, которые использовались против Китая с марта 2024 года; в последнее время атаки были перенесены на фишинговые целевые страницы, ориентированные на Малайзию.

Многоэтапное инфицирование и персистенция

Заражение обычно начинается с исполняемого файла, маскирующегося под налоговый аудит или другой официальный документ. Этот исполняемый файл загружает вредоносную DLL-библиотеку, которая выполняет функцию загрузчика шелл-кода для полезной нагрузки с именем sw.dat. Загрузчик выполняет ряд защитных действий: проверку виртуальных машин, сканирование запущенных процессов на наличие известных антивирусных продуктов и их завершение, повышение привилегий и отключение планировщика задач Windows, — прежде чем передать управление следующим этапам.

Наблюдаемые файлы, перемещенные в систему:

  • svchost.ini — содержит RVA для VirtualAlloc.
  • TimeBrokerClient.dll (законный TimeBrokerClient.dll, переименованный в BrokerClientCallback.dll).
  • msvchost.dat — зашифрованный шеллкод.
  • system.dat — зашифрованная полезная нагрузка.
  • wkscli.dll — неиспользуемая/заполнительная DLL-библиотека.

    • Запуск планировщика задач и скрытая активация

    Вместо явного запуска процесса кампания использует поведение планировщика заданий Windows: планировщик заданий запускается как служба под управлением svchost.exe и по умолчанию настроен на перезапуск вскоре после сбоя. Вредоносное ПО изменяет файлы таким образом, что при перезапуске службы планировщика заданий svchost.exe загружает вредоносную библиотеку TimeBrokerClient.dll (переименованную в BrokerClientCallback.dll). Эта DLL выделяет память для зашифрованного шелл-кода, используя адрес VirtualAlloc, хранящийся в svchost.ini, а затем заставляет msvchost.dat расшифровывать system.dat и извлекать полезную нагрузку HoldingHands. Этот триггер «перезапуск службы → загрузка DLL» снижает необходимость в прямом запуске процесса и усложняет обнаружение на основе поведения.

    Повышение привилегий до TrustedInstaller

    Чтобы получить разрешения, необходимые для переименования и замены защищённых системных компонентов (например, для переименования подлинного файла TimeBrokerClient.dll), загрузчик выдаёт себя за системные учётные записи с высоким уровнем привилегий. Наблюдаемая последовательность выглядит следующим образом:

    • Включите SeDebugPrivilege для доступа к процессу Winlogon и его токену.
    • Используйте токен Winlogon для запуска от имени SYSTEM.
    • Из SYSTEM получите контекст безопасности TrustedInstaller — учетную запись, используемую службой защиты ресурсов Windows для защиты критически важных файлов ОС.
    • Используя контекст TrustedInstaller, вредоносная программа может изменять защищенные файлы в C:\Windows\System32 (это действие обычно запрещено даже администраторам).

    Как полезная нагрузка выполняет и сохраняет управление

    Вредоносный компонент TimeBrokerClient выделяет память в соответствии с RVA в svchost.ini, помещает туда расшифрованный шелл-код из msvchost.dat и запускает его. Расшифрованная полезная нагрузка распаковывает HoldingHands, который затем устанавливает соединение с удалённым сервером управления (C2). Наблюдаемые возможности включают:

    • Отправка информации о хосте на C2.
    • Отправка сообщений о пульсе каждые 60 секунд для поддержания канала в рабочем состоянии.
  • Получение и выполнение удаленных команд (кража данных, выполнение произвольных команд, получение дополнительных полезных данных).
  • Добавлена функция, позволяющая оператору обновлять адрес C2 через запись в реестре Windows.

    • Нацеливание, языковой фокус и вероятный мотив

    Недавние образцы и приманки указывают на ориентацию на жертв, говорящих по-китайски, хотя географический охват теперь включает Японию и Малайзию. Оперативные модели — разведка, региональное нацеливание, скрытное присутствие и модульная функциональность бэкдора — указывают на сбор разведывательной информации в регионе, при этом импланты часто остаются бездействующими в ожидании дальнейших инструкций.

    Краткое содержание

    Операторы, связанные с Silver Fox, расширили деятельность Winos 4.0 и добавили в свой арсенал RAT HoldingHands, используя отточенную социальную инженерию (PDF-файлы и страницы, оптимизированные для SEO), а также сложную многоступенчатую цепочку выполнения, которая злоупотребляет поведением планировщика заданий и привилегиями TrustedInstaller для сохранения активности и уклонения от обнаружения. Возможности и направленность операции указывают на целенаправленную региональную деятельность по сбору разведывательной информации с использованием долгоживущих модульных имплантов, ожидающих команд оператора.

    В тренде

    TechBrowser

    Вредоносное ПО для Mac, Рекламное ПО, Потенциально нежелательные программы
    По результатам оценки, проведенной исследователями информационной безопасности, приложение TechBrowser было отнесено к категории рекламного ПО. Эта классификация основана на его способности...

    American Express — мошенничество «Попытка входа была...

    Фишинг, Спам
    Киберпреступники часто используют известность известных брендов, чтобы заставить доверчивых пользователей раскрыть конфиденциальную информацию. Афера «American Express — попытка входа заблокирована» — яркий пример такой тактики. Эти письма выдают себя за предупреждения системы безопасности American Express, утверждая, что подозрительная попытка входа заблокирована, и призывая получателя...

    Наиболее просматриваемые

    Загрузка...