HoldingHands RAT
Претње које стоје иза породице злонамерних програма Winos 4.0 (такође праћене као ValleyRAT) прошириле су своје операције ван Кине и Тајвана, циљајући Јапан и Малезију. У овим недавним кампањама, група је испоручила другог тројанца са даљинским приступом (RAT) идентификованог као HoldingHands (познат и као Gh0stBins), користећи друштвено инжењерске фишинг документе као примарни вектор.
Преглед садржаја
Како се кампања шири
Нападачи дистрибуирају злонамерни софтвер путем фишинг имејлова који садрже PDF прилоге са уграђеним злонамерним линковима. PDF-ови се представљају као званична комуникација — у неким случајевима, представљајући се као документи Министарства финансија — и садрже више линкова, од којих само један води до злонамерног преузимања. У другим инцидентима, мамац је веб страница (на пример, страница на јапанском језику хостована на URL-у као што је „twsww[.]xin/download[.]html“) која подстиче жртве да преузму ZIP архиву која садржи RAT.
Методе дистрибуције и атрибуција
Винос 4.0 се обично шири путем фишинга и кампања тровања SEO-ом које преусмеравају жртве на лажне странице за преузимање које се представљају као легитиман софтвер (примећени примери укључују фалсификоване инсталатере за Google Chrome, Telegram, Youdao, Sogou AI, WPS Office и DeepSeek). Истраживачи безбедности повезују употребу Виноса са агресивним кластером сајбер криминалаца познатим као Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 и Void Arachne. У септембру 2025. године, истраживачи су известили да је овај актер злоупотребљавао претходно недокументовани рањиви драјвер у пакету са производом произвођача под називом WatchDog Anti-malware у BYOVD (Bring Your Own Vulnerable Driver) техници како би онемогућио заштиту крајњих тачака. Раније (август 2025), група је користила тровање SEO-ом да би ширила HiddenGh0st и Винос модуле, а јунски извештаји су документовали да је Силвер Фокс користио ПДФ-ове са замкама за покретање вишестепених инфекција које су на крају активирале HoldingHands RAT. Историјски мамци укључују Ексел датотеке са темом опорезивања које су коришћене против Кине још од марта 2024. године; недавни напори су се усмерили на фишинг странице усмерене ка Малезији.
Вишестепена инфекција и перзистенција
Инфекција обично почиње извршном датотеком која се маскира као ревизијски извештај о акцизама или други званични документ. Та извршна датотека бочно учитава злонамерни DLL, који делује као програм за учитавање шел кода за корисни терет под називом „sw.dat“. Програм за учитавање извршава неколико анти-аналитичких и одбрамбених акција — анти-виртуелне провере, скенирање покренутих процеса за познате безбедносне производе и њихово прекидање, ескалацију привилегија и онемогућавање Windows Task Scheduler-а — пре него што преда контролу наредним фазама.
Датотеке које су примећене као да су пребачене на систем:
- svchost.ini — садржи RVA за VirtualAlloc.
- TimeBrokerClient.dll (легитимна датотека TimeBrokerClient.dll преименована у BrokerClientCallback.dll).
Окидач за планирање задатака и прикривена активација
Уместо да се ослања на експлицитно покретање процеса, кампања користи понашање Windows Task Scheduler-а: Task Scheduler ради као сервис под svchost.exe и подразумевано је конфигурисан да се поново покрене убрзо након квара. Злонамерни софтвер мења датотеке тако да када се сервис Task Scheduler поново покрене, svchost.exe учитава злонамерни TimeBrokerClient.dll (преименован у BrokerClientCallback.dll). Тај DLL додељује меморију за шифровани shellcode користећи VirtualAlloc адресу сачувану у svchost.ini, а затим узрокује да msvchost.dat дешифрује system.dat и издвоји HoldingHands корисни терет. Овај окидач „поновно покретање сервиса → учитавање DLL-а“ смањује потребу за директним извршавањем процеса и компликује детекцију засновану на понашању.
Ескалација привилегија на TrustedInstaller
Да би добио дозволе потребне за преименовање и замену заштићених системских компоненти (на пример, преименовање оригиналне датотеке TimeBrokerClient.dll), програм за учитавање имитира системске налоге са високим привилегијама. Примећени редослед је следећи:
- Омогућите SeDebugPrivilege приступ Winlogon процесу и његовом токену.
- Усвојите Winlogon токен да бисте га покренули као SYSTEM.
- Из SYSTEM-а, преузмите безбедносни контекст TrustedInstaller — налог који користи Windows Resource Protection за заштиту критичних датотека оперативног система.
- Користећи тај контекст TrustedInstaller-а, злонамерни софтвер може да измени заштићене датотеке у C:\Windows\System32 (радња која је обично ограничена чак и за администраторе).
Како корисни терет извршава и одржава контролу
Злонамерна компонента TimeBrokerClient алокира меморију према RVA у svchost.ini датотеци, тамо смешта дешифровани шелкод из msvchost.dat и покреће га. Дешифровани терет распакује HoldingHands, који затим успоставља комуникацију са удаљеним командним и контролним (C2) сервером. Уочене могућности укључују:
- Слање информација о хосту на C2.
- Слање порука о откуцајима срца сваких 60 секунди како би се канал одржао активним.
Циљање, језички фокус и вероватни мотив
Недавни узорци и мамци указују на фокус на жртве које говоре кинески језик, иако географски опсег сада укључује Јапан и Малезију. Оперативни обрасци – извиђање, регионално циљање, прикривена истрајност и модуларна функционалност задњих врата – указују на прикупљање обавештајних података у региону, при чему имплантати често остају неактивни чекајући даља упутства.
Резиме
Оператори повезани са Силвер Фоксом проширили су активности Виноса 4.0 и додали ХолдингХендс РАТ свом скупу алата, користећи углађени социјални инжењеринг (ПДФ-ове и странице затроване СЕО-ом) и софистицирани вишестепени ланац извршавања који злоупотребљава понашање Планера задатака и привилегије ТрустедИнсталлера да би опстао и избегао откривање. Могућности и циљање операције указују на фокусиран регионални напори прикупљања обавештајних података са дуготрајним, модуларним имплантатима који чекају команде оператера.
