Multilicenčná zľavová ponuka
Databáza hrozieb Nástroje vzdialenej správy HoldingHands RAT

HoldingHands RAT

Do roku Mezo v roku Nástroje vzdialenej správy, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Hrozitelia stojaci za rodinou malvéru Winos 4.0 (tiež sledovaného ako ValleyRAT) rozšírili svoje operácie za hranice Číny a Taiwanu a zamerali sa na Japonsko a Malajziu. V týchto nedávnych kampaniach skupina spustila druhého trójskeho koňa so vzdialeným prístupom (RAT) identifikovaného ako HoldingHands (tiež známy ako Gh0stBins), ktorý ako primárny vektor použil sociálne inžinierske phishingové dokumenty.

Ako sa kampaň šíri

Útočníci šíria malvér prostredníctvom phishingových e-mailov, ktoré obsahujú prílohy PDF s vloženými škodlivými odkazmi. Súbory PDF sa vydávajú za oficiálnu komunikáciu – v niektorých prípadoch sa vydávajú za dokumenty ministerstva financií – a obsahujú viacero odkazov, z ktorých iba jeden vedie k stiahnutiu škodlivého súboru. V iných prípadoch je lákadlom webová stránka (napríklad stránka v japončine hostovaná na adrese URL ako „twsww[.]xin/download[.]html“), ktorá vyzve obete na načítanie ZIP archívu obsahujúceho súbor RAT.

Metódy distribúcie a pripisovanie

Winos 4.0 sa bežne šíri prostredníctvom phishingových a SEO-poisoning kampaní, ktoré presmerujú obete na falošné stránky na stiahnutie, ktoré sa vydávajú za legitímny softvér (medzi pozorované príklady patria falošné inštalátory pre Google Chrome, Telegram, Youdao, Sogou AI, WPS Office a DeepSeek). Bezpečnostní výskumníci spájajú používanie Winosu s agresívnym kyberzločineckým klastrom známym ako Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 a Void Arachne. V septembri 2025 výskumníci informovali o tom, že tento aktér zneužíva predtým nezdokumentovaný zraniteľný ovládač dodávaný s produktom dodávateľa s názvom WatchDog Anti-malware technikou BYOVD (Bring Your Own Vulnerable Driver) na deaktiváciu ochrany koncových bodov. Skôr (august 2025) skupina použila SEO-poisoning na šírenie modulov HiddenGh0st a Winos a júnové správy zdokumentovali, že Silver Fox používal nastražené PDF súbory na vytvorenie viacstupňových infekcií, ktoré nakoniec nasadili HoldingHands RAT. Medzi historické lákadlá patria súbory Excelu s daňovou tematikou používané proti Číne, ktoré sa datujú od marca 2024; nedávne úsilie sa presunulo na phishingové vstupné stránky zamerané na Malajziu.

Viacstupňová infekcia a perzistencia

Infekcia zvyčajne začína spustiteľným súborom maskovaným ako audit spotrebnej dane alebo iný oficiálny dokument. Tento spustiteľný súbor načíta škodlivú knižnicu DLL, ktorá funguje ako zavádzač shellcode pre dátovú záťaž s názvom „sw.dat“. Zavádzač vykoná niekoľko antianalytických a obranných akcií – kontroly anti-virtuálnych počítačov, skenovanie spustených procesov a vyhľadávanie známych bezpečnostných produktov a ich ukončenie, zvyšovanie privilégií a deaktiváciu Plánovača úloh systému Windows – predtým, ako odovzdá kontrolu ďalším fázam.

Pozorované súbory presunuté do systému:

  • svchost.ini – obsahuje RVA pre VirtualAlloc.
  • TimeBrokerClient.dll (legitímny súbor TimeBrokerClient.dll premenovaný na BrokerClientCallback.dll).
  • msvchost.dat — šifrovaný shell kód.
  • system.dat – šifrované užitočné zaťaženie.
  • wkscli.dll — nepoužívaná/zástupná knižnica DLL.

Spúšťač plánovača úloh a nenápadná aktivácia

Namiesto spoliehania sa na explicitné spustenie procesu kampaň využíva správanie Plánovača úloh systému Windows: Plánovač úloh beží ako služba pod súborom svchost.exe a predvolene je nakonfigurovaný na reštartovanie krátko po zlyhaní. Škodlivý softvér mení súbory tak, že po reštarte služby Plánovača úloh svchost.exe načíta škodlivý súbor TimeBrokerClient.dll (premenovaný na BrokerClientCallback.dll). Táto knižnica DLL alokuje pamäť pre zašifrovaný shellcode pomocou adresy VirtualAlloc uloženej v súbore svchost.ini a potom spôsobí, že súbor msvchost.dat dešifruje súbor system.dat a extrahuje užitočné zaťaženie HoldingHands. Tento spúšťač „reštart služby → načítanie knižnice DLL“ znižuje potrebu priameho vykonávania procesov a komplikuje detekciu založenú na správaní.

Zvýšenie privilégií na TrustedInstaller

Aby zavádzač získal povolenia potrebné na premenovanie a nahradenie chránených systémových komponentov (napríklad premenovanie originálneho súboru TimeBrokerClient.dll), imituje systémové účty s vysokými oprávneniami. Pozorovaná postupnosť je nasledovná:

  • Povoľte SeDebugPrivilege prístup k procesu Winlogon a jeho tokenu.
  • Prijať token Winlogon na spustenie ako SYSTEM.
  • Z priečinka SYSTEM získajte bezpečnostný kontext TrustedInstaller – konto, ktoré používa služba Windows Resource Protection na ochranu kritických súborov operačného systému.
  • Pomocou kontextu TrustedInstaller môže malvér upravovať chránené súbory v priečinku C:\Windows\System32 (akcia, ktorá je bežne obmedzená aj pre administrátorov).

Ako užitočné zaťaženie vykonáva a udržiava kontrolu

Škodlivý komponent TimeBrokerClient alokuje pamäť podľa RVA v súbore svchost.ini, umiestni tam dešifrovaný shellcode zo súboru msvchost.dat a spustí ho. Dešifrovaný dátový súbor rozbalí HoldingHands, ktorý potom nadviaže komunikáciu so vzdialeným serverom velenia a riadenia (C2). Medzi pozorované schopnosti patria:

  • Odosielanie informácií o hostiteľovi do C2.
  • Odosielanie správ o srdcovom tepe každých 60 sekúnd, aby sa kanál udržal v prevádzke.
  • Prijímanie a vykonávanie vzdialených príkazov (krádež dát, vykonávanie ľubovoľných príkazov, načítanie ďalších údajov).
  • Pridaná funkcia umožňujúca operátorovi aktualizovať adresu C2 prostredníctvom položky v registri systému Windows.

Zacielenie, jazykové zameranie a pravdepodobný motív

Nedávne vzorky a návnady naznačujú zameranie sa na čínsky hovoriace obete, hoci geografický rozsah teraz zahŕňa Japonsko a Malajziu. Operačné vzorce – prieskum, regionálne zacielenie, nenápadné vytrvalosť a modulárna funkcionalita zadných vrátok – poukazujú na zhromažďovanie spravodajských informácií v regióne, pričom implantáty často zostávajú neaktívne a čakajú na ďalšie pokyny.

Zhrnutie

Operátori prepojení so spoločnosťou Silver Fox rozšírili aktivity Winos 4.0 a do svojej sady nástrojov pridali HoldingHands RAT, pričom využívajú vycibrené sociálne inžinierstvo (PDF a SEO-otrávené stránky) a sofistikovaný viacstupňový reťazec vykonávania, ktorý zneužíva správanie Plánovača úloh a privilégiá TrustedInstaller na pretrvávanie a vyhýbanie sa odhaleniu. Schopnosti a zacielenie operácie naznačujú cielené regionálne úsilie o zhromažďovanie spravodajských informácií s dlhodobými, modulárnymi implantátmi čakajúcimi na príkazy operátora.

Trendy

American Express – Pokus o prihlásenie bol...

Phishing, Spam
Kyberzločinci často zneužívajú známosť dôveryhodných značiek na to, aby nalákali nič netušiacich používateľov k odhaleniu citlivých informácií. Podvod „American Express – Pokus o prihlásenie bol zablokovaný“ je ukážkovým príkladom tejto taktiky. Tieto e-maily sa vydávajú za bezpečnostné upozornenia od spoločnosti American Express, tvrdia, že podozrivý pokus o prihlásenie bol zablokovaný, a...

Najviac videné

Načítava...