Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mjetet e administrimit në distancë HoldingHands RAT

HoldingHands RAT

Nga MezoMjetet e administrimit në distancë, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Aktorët kërcënues që fshihen pas familjes së programeve keqdashëse Winos 4.0 (të gjurmuara edhe si ValleyRAT) i kanë zgjeruar operacionet e tyre përtej Kinës dhe Tajvanit për të synuar Japoninë dhe Malajzinë. Në këto fushata të fundit, grupi ka shpërndarë një trojan të dytë me akses të largët (RAT) të identifikuar si HoldingHands (i njohur edhe si Gh0stBins), duke përdorur dokumente phishing të modifikuara socialisht si vektorin kryesor.

Si përhapet fushata

Sulmuesit shpërndajnë programin keqdashës përmes emaileve phishing që përfshijnë bashkëngjitje PDF me lidhje të integruara keqdashëse. PDF-të imitojnë komunikimet zyrtare - në disa raste, duke u paraqitur si dokumente të Ministrisë së Financave - dhe përmbajnë lidhje të shumëfishta, vetëm njëra prej të cilave çon në shkarkimin keqdashës. Në incidente të tjera, joshja është një faqe interneti (për shembull, një faqe në gjuhën japoneze e vendosur në një URL si 'twsww[.]xin/download[.]html') që i nxit viktimat të marrin një arkiv ZIP që përmban RAT.

Metodat e Shpërndarjes dhe Atribuimi

Winos 4.0 përhapet zakonisht nëpërmjet fushatave të phishing dhe helmimit SEO që i ridrejtojnë viktimat në faqe shkarkimi të rreme që paraqiten si softuer legjitim (shembujt e vëzhguar përfshijnë instalues të falsifikuar për Google Chrome, Telegram, Youdao, Sogou AI, WPS Office dhe DeepSeek). Studiuesit e sigurisë e lidhin përdorimin e Winos me një grup agresiv kriminal kibernetik të njohur ndryshe si Silver Fox, SwimSnake, Valley Thief (Hajduti i Madh i Luginës), UTG-Q-1000 dhe Void Arachne. Në shtator 2025, studiuesit raportuan se ky aktor abuzonte me një drajver të cenueshëm të padokumentuar më parë të paketuar me një produkt shitësi të quajtur WatchDog Anti-malware në një teknikë BYOVD (Bring Your Own Vulnerable Driver) për të çaktivizuar mbrojtjen e pikës fundore. Më herët (gusht 2025), grupi përdori helmimin SEO për të përhapur modulet HiddenGh0st dhe Winos, dhe raportimet e qershorit dokumentuan Silver Fox duke përdorur PDF të bllokuara për të organizuar infeksione me shumë hapa që në fund vendosën HoldingHands RAT. Karremat historike përfshijnë skedarë Excel me temë taksimin të përdorur kundër Kinës që nga marsi i vitit 2024; përpjekjet e fundit u zhvendosën në faqet e internetit të phishing-ut të synuara nga Malajzia.

Infeksioni shumëfazor dhe vazhdimësia

Infeksioni zakonisht fillon me një skedar ekzekutues që maskohet si një audit akcize ose dokument tjetër zyrtar. Ai skedar ekzekutues ngarkon në mënyrë anësore një DLL keqdashëse, e cila vepron si një ngarkues shellcode për një ngarkesë të quajtur 'sw.dat'. Ngarkuesi kryen disa veprime anti-analizë dhe mbrojtëse - kontrolle anti-VM, skanim të proceseve që ekzekutohen për produkte të njohura sigurie dhe ndërprerjen e tyre, shkallëzimin e privilegjeve dhe çaktivizimin e Planifikuesit të Detyrave të Windows - përpara se t'ia kalojë kontrollin fazave pasuese.

Skedarët e vërejtur të rënë në sistem:

  • svchost.ini — përmban RVA-në për VirtualAlloc.
  • TimeBrokerClient.dll (skedari legjitim TimeBrokerClient.dll i riemëruar në BrokerClientCallback.dll).
  • msvchost.dat — shellcode i koduar.
  • system.dat — ngarkesë e enkriptuar.
  • wkscli.dll — DLL i papërdorur/vendmbajtës.

    • Shkaktuesi i Planifikuesit të Detyrave dhe Aktivizimi i Fshehtë

    Në vend që të mbështetet në një nisje të qartë të procesit, fushata shfrytëzon sjelljen e Planifikuesit të Detyrave të Windows: Planifikuesi i Detyrave funksionon si një shërbim nën svchost.exe dhe si parazgjedhje është konfiguruar të riniset menjëherë pas dështimit. Malware ndryshon skedarët në mënyrë që kur shërbimi i Planifikuesit të Detyrave të riniset, svchost.exe ngarkon skedarin keqdashës TimeBrokerClient.dll (riemëruar BrokerClientCallback.dll). Ky DLL ndan memorie për shellcode-in e enkriptuar duke përdorur adresën VirtualAlloc të ruajtur në svchost.ini, pastaj bën që msvchost.dat të dekriptojë system.dat dhe të nxjerrë ngarkesën e HoldingHands. Ky shkaktar 'rinisja e shërbimit → ngarkimi i DLL' zvogëlon nevojën për ekzekutim të drejtpërdrejtë të procesit dhe ndërlikon zbulimin e bazuar në sjellje.

    Përshkallëzimi i privilegjit te TrustedInstaller

    Për të fituar lejet e nevojshme për të riemërtuar dhe zëvendësuar komponentët e sistemit të mbrojtur (për shembull, riemërtimi i TimeBrokerClient.dll origjinal), ngarkuesi imiton llogaritë e sistemit me privilegje të larta. Sekuenca e vëzhguar është:

    • Aktivizo SeDebugPrivilege për të aksesuar procesin Winlogon dhe tokenin e tij.
    • Përdorni tokenin Winlogon për të funksionuar si SYSTEM.
    • Nga SYSTEM, merrni një kontekst sigurie TrustedInstaller — llogaria e përdorur nga Windows Resource Protection për të mbrojtur skedarët kritikë të sistemit operativ.
    • Duke përdorur atë kontekst TrustedInstaller, programi keqdashës mund të modifikojë skedarët e mbrojtur në C:\Windows\System32 (një veprim normalisht i kufizuar edhe për administratorët).

    Si ekzekutohet dhe ruan kontrollin ngarkesa

    Komponenti keqdashës TimeBrokerClient ndan memorie sipas RVA në svchost.ini, vendos kodin e shell-it të deshifruar nga msvchost.dat atje dhe e ekzekuton atë. Ngarkesa e deshifruar çpaketon HoldingHands, i cili më pas vendos komunikime me një server komande dhe kontrolli në distancë (C2). Aftësitë e vëzhguara përfshijnë:

    • Duke dërguar informacionin e hostit te C2.
    • Duke dërguar mesazhe rrahjesh të zemrës çdo 60 sekonda për ta mbajtur kanalin gjallë.
  • Marrja dhe ekzekutimi i komandave në distancë (vjedhja e të dhënave, ekzekutimi arbitrar i komandave, marrja e ngarkesave shtesë).
  • Një veçori e shtuar që i lejon operatorit të përditësojë adresën C2 nëpërmjet një hyrjeje në Regjistrin e Windows.

    • Synimi, Fokusi në Gjuhë dhe Motivi i Mundshëm

    Mostrat dhe karremat e fundit tregojnë një fokus te viktimat që flasin gjuhën kineze, megjithëse shtrirja gjeografike tani përfshin Japoninë dhe Malajzinë. Modelet operacionale - zbulimi, synimi rajonal, këmbëngulja e fshehtë dhe funksionaliteti modular i derës së pasme - tregojnë për mbledhjen e inteligjencës në rajon, me implantet që shpesh lihen joaktive në pritje të udhëzimeve të mëtejshme.

    Përmbledhje

    Operatorët e lidhur me Silver Fox kanë zgjeruar aktivitetin e Winos 4.0 dhe kanë shtuar HoldingHands RAT në mjetet e tyre, duke përdorur inxhinieri sociale të rafinuar (PDF dhe faqe të helmuara nga SEO) dhe një zinxhir të sofistikuar ekzekutimi me shumë faza që abuzon me sjelljen e Planifikuesit të Detyrave dhe privilegjet e TrustedInstaller për të vazhduar dhe për t'iu shmangur zbulimit. Aftësitë dhe synimi i operacionit sugjerojnë një përpjekje të fokusuar rajonale të mbledhjes së inteligjencës me implante modulare jetëgjatë që presin komandat e operatorit.

    Në trend

    American Express - Mashtrim për bllokimin e...

    Fishing, Spam
    Kriminelët kibernetikë shpesh shfrytëzojnë njohuritë e markave të besuara për të joshur përdoruesit e pavetëdijshëm që të zbulojnë informacione të ndjeshme. Mashtrimi 'American Express - Përpjekja e Hyrjes u Bllokua' është një shembull kryesor i kësaj taktike. Këto email-e imitojnë alarmet e sigurisë nga American Express, duke pretenduar se një përpjekje e dyshimtë hyrjeje është bllokuar dhe...

    Më e shikuara

    Po ngarkohet...