Rabattoffert för flera licenser
Hotdatabas Fjärradministrationsverktyg HållandeHänderRÅTTA

HållandeHänderRÅTTA

Med Mezo år Fjärradministrationsverktyg, Advanced Persistent Threat (APT)
Översätt till:

Hotaktörerna bakom Winos 4.0-familjen av skadliga program (även kända som ValleyRAT) har utökat sin verksamhet bortom Kina och Taiwan till att rikta in sig på Japan och Malaysia. I dessa senaste kampanjer levererade gruppen en andra fjärråtkomsttrojan (RAT) identifierad som HoldingHands (även känd som Gh0stBins), med hjälp av socialt modifierade nätfiskedokument som primär vektor.

Hur kampanjen sprids

Angripare distribuerar skadlig programvara via nätfiskemejl som innehåller PDF-bilagor med inbäddade skadliga länkar. PDF-filerna utger sig för att vara officiell kommunikation – i vissa fall utger de sig för att vara dokument från finansministeriet – och innehåller flera länkar, varav endast en leder till den skadliga nedladdningen. I andra fall är lockelsen en webbsida (till exempel en japanskspråkig sida som finns på en URL som 'twsww[.]xin/download[.]html') som uppmanar offren att hämta ett ZIP-arkiv som innehåller RAT-filen.

Distributionsmetoder och attribution

Winos 4.0 sprids ofta via nätfiske- och SEO-förgiftningskampanjer som omdirigerar offer till falska nedladdningssidor som utger sig för att vara legitim programvara (exempel som observerats inkluderar förfalskade installationsprogram för Google Chrome, Telegram, Youdao, Sogou AI, WPS Office och DeepSeek). Säkerhetsforskare kopplar användningen av Winos till ett aggressivt cyberkriminellt kluster känt som Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 och Void Arachne. I september 2025 rapporterade forskare att denna aktör missbrukade en tidigare odokumenterad sårbar drivrutin som levererades med en leverantörsprodukt som heter WatchDog Anti-malware i en BYOVD-teknik (Bring Your Own Vulnerable Driver) för att inaktivera endpoint-skydd. Tidigare (augusti 2025) använde gruppen SEO-förgiftning för att sprida HiddenGh0st- och Winos-moduler, och i juni rapporterade de att Silver Fox använde fällor i PDF-filer för att iscensätta flerstegsinfektioner som slutligen använde HoldingHands RAT. Historiska lockbete inkluderar skatterelaterade Excel-filer som använts mot Kina sedan mars 2024; de senaste ansträngningarna har skiftat till malaysiska riktade nätfiske-landningssidor.

Flerstegsinfektion och persistens

Infektionen börjar vanligtvis med en körbar fil som utger sig för att vara en punktskatterevision eller annat officiellt dokument. Den körbara filen sidladdar en skadlig DLL, som fungerar som en skalkodsladdare för en nyttolast med namnet 'sw.dat'. Laddaren utför flera anti-analys- och defensiva åtgärder – anti-VM-kontroller, skanning av pågående processer efter kända säkerhetsprodukter och avslutande av dem, eskalering av behörigheter och inaktivering av Windows Task Scheduler – innan kontrollen överlämnas till efterföljande steg.

Filer som observerats och släppts till systemet:

  • svchost.ini — innehåller RVA för VirtualAlloc.
  • TimeBrokerClient.dll (den legitima TimeBrokerClient.dll-filen har bytt namn till BrokerClientCallback.dll).
  • msvchost.dat — krypterad skalkod.
  • system.dat — krypterad nyttolast.
  • wkscli.dll — oanvänd/platshållare-DLL.

Aktiveringsschemaläggarens utlösare och smygande aktivering

Istället för att förlita sig på en explicit processstart utnyttjar kampanjen Windows Task Scheduler-beteendet: Task Scheduler körs som en tjänst under svchost.exe och är som standard konfigurerad att starta om kort efter felet. Skadlig programvara ändrar filer så att när Task Scheduler-tjänsten startas om laddar svchost.exe den skadliga TimeBrokerClient.dll (bytt namn till BrokerClientCallback.dll). Den DLL-filen allokerar minne för den krypterade skalkoden med hjälp av VirtualAlloc-adressen som lagras i svchost.ini, och får sedan msvchost.dat att dekryptera system.dat och extrahera HoldingHands-nyttolasten. Denna utlösare "tjänstomstart → DLL-laddning" minskar behovet av direkt processkörning och komplicerar beteendebaserad detektering.

Eskalering av behörighet till TrustedInstaller

För att få de behörigheter som krävs för att byta namn på och ersätta skyddade systemkomponenter (till exempel byta namn på den äkta TimeBrokerClient.dll) imiterar laddaren systemkonton med hög behörighet. Den observerade sekvensen är:

  • Aktivera SeDebugPrivilege för att få åtkomst till Winlogon-processen och dess token.
  • Använd Winlogon-token för att köras som SYSTEM.
  • Från SYSTEM, hämta en TrustedInstaller-säkerhetskontext – det konto som används av Windows Resource Protection för att skydda kritiska operativsystemfiler.
  • Med hjälp av den TrustedInstaller-kontexten kan skadlig programvara modifiera skyddade filer i C:\Windows\System32 (en åtgärd som normalt är begränsad även för administratörer).

Hur nyttolasten utförs och bibehåller kontroll

Den skadliga TimeBrokerClient-komponenten allokerar minne enligt RVA i svchost.ini, placerar den dekrypterade skalkoden från msvchost.dat där och kör den. Den dekrypterade nyttolasten packar upp HoldingHands, som sedan upprättar kommunikation med en fjärrstyrd kommando- och kontrollserver (C2). Observerade funktioner inkluderar:

  • Skickar värdinformation till C2.
  • Skickar hjärtslagsmeddelanden var 60:e sekund för att hålla kanalen vid liv.
  • Ta emot och köra fjärrkommandon (datastöld, godtycklig kommandokörning, hämta ytterligare nyttolaster).
  • En tillagd funktion som gör det möjligt för operatören att uppdatera C2-adressen via en Windows-registerpost.

Inriktning, språkligt fokus och troligt motiv

Nyligen genomförda prover och lockbete tyder på ett fokus på kinesiskspråkiga offer, även om det geografiska området nu inkluderar Japan och Malaysia. De operativa mönstren – spaning, regional målinriktning, smygande uthållighet och modulär bakdörrsfunktionalitet – pekar på underrättelseinsamling i regionen, där implantat ofta lämnas vilande i väntan på ytterligare instruktioner.

Sammanfattning

Operatörer med kopplingar till Silver Fox har utökat Winos 4.0-aktiviteten och lagt till HoldingHands RAT i sina verktyg, med hjälp av polerad social engineering (PDF:er och SEO-förgiftade sidor) och en sofistikerad flerstegs exekveringskedja som missbrukar Task Scheduler-beteendet och TrustedInstaller-privilegier för att bestå och undvika upptäckt. Operationens kapacitet och målgrupp antyder en fokuserad regional insamling av information med långlivade, modulära implantat som väntar på operatörskommandon.

Trendigt

American Express - Inloggningsförsök blockerades, bluff

Nätfiske, Spam
Cyberbrottslingar utnyttjar ofta förtroligheten hos betrodda varumärken för att locka intet ont anande användare att avslöja känslig information. Bedrägeriet "American Express - Inloggningsförsök blockerades" är ett utmärkt exempel på denna taktik. Dessa e-postmeddelanden utger sig för att vara säkerhetsvarningar från American Express, hävdar att ett misstänkt inloggningsförsök blockerades och...

Mest sedda

Läser in...