HoldingHands RAT

Winos 4.0 மால்வேர் குடும்பத்தின் (ValleyRAT என்றும் கண்காணிக்கப்படுகிறது) பின்னணியில் உள்ள அச்சுறுத்தல் நபர்கள், சீனா மற்றும் தைவானுக்கு அப்பால் ஜப்பான் மற்றும் மலேசியாவை குறிவைத்து தங்கள் செயல்பாடுகளை விரிவுபடுத்தியுள்ளனர். இந்த சமீபத்திய பிரச்சாரங்களில், குழு ஹோல்டிங்ஹேண்ட்ஸ் (aka Gh0stBins) என அடையாளம் காணப்பட்ட இரண்டாவது ரிமோட்-அக்சஸ் ட்ரோஜனை (RAT) வழங்கியது, இது சமூக ரீதியாக வடிவமைக்கப்பட்ட ஃபிஷிங் ஆவணங்களை முதன்மை வெக்டராகப் பயன்படுத்தியது.

பிரச்சாரம் எவ்வாறு பரவுகிறது

தாக்குபவர்கள் தீங்கிழைக்கும் இணைப்புகள் உட்பொதிக்கப்பட்ட PDF இணைப்புகளை உள்ளடக்கிய ஃபிஷிங் மின்னஞ்சல்கள் மூலம் தீம்பொருளை விநியோகிக்கின்றனர். PDFகள் அதிகாரப்பூர்வ தகவல்தொடர்புகளைப் போல ஆள்மாறாட்டம் செய்கின்றன - சில சந்தர்ப்பங்களில், நிதி அமைச்சக ஆவணங்களாகக் காட்டிக் கொள்கின்றன - மேலும் பல இணைப்புகளைக் கொண்டுள்ளன, அவற்றில் ஒன்று மட்டுமே தீங்கிழைக்கும் பதிவிறக்கத்திற்கு வழிவகுக்கிறது. மற்ற சம்பவங்களில், கவர்ச்சியானது ஒரு வலைப்பக்கமாகும் (எடுத்துக்காட்டாக, 'twsww[.]xin/download[.]html' போன்ற URL இல் ஹோஸ்ட் செய்யப்பட்ட ஜப்பானிய மொழிப் பக்கம்), இது பாதிக்கப்பட்டவர்களை RAT கொண்ட ZIP காப்பகத்தைப் பெறத் தூண்டுகிறது.

விநியோக முறைகள் மற்றும் பண்புக்கூறு

Winos 4.0 பொதுவாக ஃபிஷிங் மற்றும் SEO-விஷ பிரச்சாரங்கள் மூலம் பிரச்சாரம் செய்யப்படுகிறது, இது பாதிக்கப்பட்டவர்களை முறையான மென்பொருளாகக் காட்டி போலி பதிவிறக்கப் பக்கங்களுக்குத் திருப்பிவிடுகிறது (கண்டறியப்பட்ட எடுத்துக்காட்டுகளில் Google Chrome, Telegram, Youdao, Sogou AI, WPS Office மற்றும் DeepSeek ஆகியவற்றிற்கான போலி நிறுவிகள் அடங்கும்). பாதுகாப்பு ஆராய்ச்சியாளர்கள் Winos இன் பயன்பாட்டை Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000, மற்றும் Void Arachne எனப் பலவிதமாக அறியப்படும் ஒரு ஆக்கிரமிப்பு சைபர் கிரைமினல் கிளஸ்டருடன் இணைக்கின்றனர். செப்டம்பர் 2025 இல், இந்த நடிகர் BYOVD (Bring Your Own Vulnerable Driver) நுட்பத்தில் வாட்ச் டாக் ஆன்டி-மால்வேர் எனப்படும் விற்பனையாளர் தயாரிப்புடன் இணைக்கப்பட்ட முன்னர் ஆவணப்படுத்தப்படாத பாதிக்கப்படக்கூடிய டிரைவரை துஷ்பிரயோகம் செய்ததாக ஆராய்ச்சியாளர்கள் தெரிவித்தனர். முன்னதாக (ஆகஸ்ட் 2025), குழு HiddenGh0st மற்றும் Winos தொகுதிகளைப் பரப்ப SEO விஷத்தைப் பயன்படுத்தியது, மேலும் ஜூன் அறிக்கை சில்வர் ஃபாக்ஸை பல-படி தொற்றுகளை நிலைநிறுத்த பூபி-ட்ராப் செய்யப்பட்ட PDFகளைப் பயன்படுத்தி ஆவணப்படுத்தியது, இது இறுதியில் HoldingHands RAT ஐப் பயன்படுத்தியது. வரலாற்று சிறப்புமிக்க கவர்ச்சிகளில் மார்ச் 2024 முதல் சீனாவிற்கு எதிராகப் பயன்படுத்தப்படும் வரிவிதிப்பு-கருப்பொருள் எக்செல் கோப்புகள் அடங்கும்; சமீபத்திய முயற்சிகள் மலேசியாவை இலக்காகக் கொண்ட ஃபிஷிங் இறங்கும் பக்கங்களுக்கு மாற்றப்பட்டுள்ளன.

பல கட்ட தொற்று மற்றும் நிலைத்தன்மை

தொற்று பொதுவாக ஒரு கலால் தணிக்கை அல்லது பிற அதிகாரப்பூர்வ ஆவணமாக மாறுவேடமிடும் ஒரு செயல்படுத்தக்கூடிய கோப்புடன் தொடங்குகிறது. அந்த செயல்படுத்தக்கூடிய கோப்பு ஒரு தீங்கிழைக்கும் DLL ஐ பக்கவாட்டில் ஏற்றுகிறது, இது 'sw.dat' என்ற பெயரிடப்பட்ட பேலோடிற்கான ஷெல்கோட் ஏற்றியாக செயல்படுகிறது. இந்த கோப்பு ஏற்றி பல பகுப்பாய்வு எதிர்ப்பு மற்றும் தற்காப்பு நடவடிக்கைகளைச் செய்கிறது - VM எதிர்ப்பு சோதனைகள், அறியப்பட்ட பாதுகாப்பு தயாரிப்புகளுக்கான இயங்கும் செயல்முறைகளை ஸ்கேன் செய்து அவற்றை நிறுத்துதல், சலுகைகளை அதிகரித்தல் மற்றும் Windows Task Scheduler ஐ முடக்குதல் - கட்டுப்பாட்டை அடுத்தடுத்த நிலைகளுக்கு ஒப்படைப்பதற்கு முன்பு.

கணினியில் விடப்பட்டதாகக் கண்டறியப்பட்ட கோப்புகள்:

• svchost.ini — VirtualAlloc-க்கான RVA-வைக் கொண்டுள்ளது.
• TimeBrokerClient.dll (சட்டப்பூர்வமான TimeBrokerClient.dll, BrokerClientCallback.dll என மறுபெயரிடப்பட்டது).

• msvchost.dat — மறைகுறியாக்கப்பட்ட ஷெல்கோடு.

• system.dat — மறைகுறியாக்கப்பட்ட பேலோட்.

• wkscli.dll — பயன்படுத்தப்படாத/இட ஒதுக்கிட DLL.

பணி திட்டமிடுபவர் தூண்டுதல் மற்றும் திருட்டுத்தனமான செயல்படுத்தல்

வெளிப்படையான செயல்முறை துவக்கத்தை நம்புவதற்குப் பதிலாக, பிரச்சாரம் Windows Task Scheduler நடத்தையைப் பயன்படுத்துகிறது: Task Scheduler svchost.exe இன் கீழ் ஒரு சேவையாக இயங்குகிறது மற்றும் இயல்பாகவே தோல்வியடைந்த சிறிது நேரத்திலேயே மறுதொடக்கம் செய்ய உள்ளமைக்கப்படுகிறது. தீம்பொருள் கோப்புகளை மாற்றுகிறது, இதனால் Task Scheduler சேவை மறுதொடக்கம் செய்யும்போது, svchost.exe தீங்கிழைக்கும் TimeBrokerClient.dll ஐ ஏற்றுகிறது (BrokerClientCallback.dll என மறுபெயரிடப்பட்டது). அந்த DLL svchost.ini இல் சேமிக்கப்பட்ட VirtualAlloc முகவரியைப் பயன்படுத்தி மறைகுறியாக்கப்பட்ட ஷெல் குறியீட்டிற்கான நினைவகத்தை ஒதுக்குகிறது, பின்னர் msvchost.dat ஐ system.dat ஐ டிக்ரிப்ட் செய்து HoldingHands பேலோடை பிரித்தெடுக்க வைக்கிறது. இந்த 'சேவை மறுதொடக்கம் → DLL சுமை' தூண்டுதல் நேரடி செயல்முறை செயல்படுத்தலுக்கான தேவையைக் குறைக்கிறது மற்றும் நடத்தை அடிப்படையிலான கண்டறிதலை சிக்கலாக்குகிறது.

TrustedInstaller-க்கு சலுகை விரிவாக்கம்

பாதுகாக்கப்பட்ட கணினி கூறுகளை மறுபெயரிடுவதற்கும் மாற்றுவதற்கும் தேவையான அனுமதிகளைப் பெற (எடுத்துக்காட்டாக, உண்மையான TimeBrokerClient.dll ஐ மறுபெயரிடுதல்), ஏற்றி உயர் சலுகை பெற்ற கணினி கணக்குகளைப் போல ஆள்மாறாட்டம் செய்கிறது. கவனிக்கப்பட்ட வரிசை:

• Winlogon செயல்முறையையும் அதன் டோக்கனையும் அணுக SeDebugPrivilege ஐ இயக்கவும்.
• SYSTEM ஆக இயங்க Winlogon டோக்கனை ஏற்றுக்கொள்ளுங்கள்.
• SYSTEM இலிருந்து, TrustedInstaller பாதுகாப்பு சூழலைப் பெறுங்கள் — இது முக்கியமான OS கோப்புகளைப் பாதுகாக்க Windows Resource Protection ஆல் பயன்படுத்தப்படும் கணக்காகும்.
• அந்த TrustedInstaller சூழலைப் பயன்படுத்தி, தீம்பொருள் C:\Windows\System32 இல் பாதுகாக்கப்பட்ட கோப்புகளை மாற்ற முடியும் (பொதுவாக நிர்வாகிகளுக்குக் கூட இது தடைசெய்யப்பட்டுள்ளது).

சுமை எவ்வாறு செயல்படுகிறது மற்றும் கட்டுப்பாட்டைப் பராமரிக்கிறது

தீங்கிழைக்கும் TimeBrokerClient கூறு svchost.ini இல் RVA க்கு நினைவகத்தை ஒதுக்குகிறது, msvchost.dat இலிருந்து மறைகுறியாக்கப்பட்ட ஷெல் குறியீட்டை அங்கு வைக்கிறது, மேலும் அதை இயக்குகிறது. மறைகுறியாக்கப்பட்ட பேலோட் ஹோல்டிங்ஹேண்ட்ஸை அவிழ்த்து விடுகிறது, இது பின்னர் தொலை கட்டளை மற்றும் கட்டுப்பாட்டு (C2) சேவையகத்துடன் தொடர்புகளை நிறுவுகிறது. கவனிக்கப்பட்ட திறன்களில் பின்வருவன அடங்கும்:

• ஹோஸ்ட் தகவலை C2 க்கு அனுப்புகிறது.
• சேனலை உயிர்ப்புடன் வைத்திருக்க ஒவ்வொரு 60 வினாடிகளுக்கும் ஒருமுறை இதயத்துடிப்பு செய்திகளை அனுப்புதல்.
• தொலைதூர கட்டளைகளைப் பெறுதல் மற்றும் செயல்படுத்துதல் (தரவு திருட்டு, தன்னிச்சையான கட்டளை செயல்படுத்தல், கூடுதல் பேலோடுகளைப் பெறுதல்).

• விண்டோஸ் ரெஜிஸ்ட்ரி உள்ளீடு வழியாக C2 முகவரியைப் புதுப்பிக்க ஆபரேட்டரை அனுமதிக்கும் கூடுதல் அம்சம்.

இலக்கு வைத்தல், மொழி கவனம், மற்றும் சாத்தியமான நோக்கம்

சமீபத்திய மாதிரிகள் மற்றும் கவர்ச்சிகள் சீன மொழி பாதிக்கப்பட்டவர்கள் மீது கவனம் செலுத்துவதைக் குறிக்கின்றன, இருப்பினும் புவியியல் நோக்கம் இப்போது ஜப்பான் மற்றும் மலேசியாவை உள்ளடக்கியது. செயல்பாட்டு முறைகள் - உளவு பார்த்தல், பிராந்திய இலக்கு, திருட்டுத்தனமான நிலைத்தன்மை மற்றும் மட்டு பின்புற செயல்பாடு - பிராந்தியத்தில் உளவுத்துறை சேகரிப்பைக் குறிக்கின்றன, மேலும் அறிவுறுத்தல்கள் வரும் வரை உள்வைப்புகள் அடிக்கடி செயலற்ற நிலையில் உள்ளன.

சுருக்கம்

சில்வர் ஃபாக்ஸ்-இணைக்கப்பட்ட ஆபரேட்டர்கள், Winos 4.0 செயல்பாட்டை விரிவுபடுத்தி, ஹோல்டிங்ஹேண்ட்ஸ் RAT-ஐ தங்கள் கருவித்தொகுப்பில் சேர்த்துள்ளனர், மெருகூட்டப்பட்ட சமூக-பொறியியல் (PDFகள் மற்றும் SEO-விஷம் நிறைந்த பக்கங்கள்) மற்றும் டாஸ்க் ஷெட்யூலரின் நடத்தை மற்றும் TrustedInstaller சலுகைகளை துஷ்பிரயோகம் செய்து கண்டறிதலைத் தவிர்க்கும் ஒரு அதிநவீன பல-நிலை செயல்படுத்தல் சங்கிலியைப் பயன்படுத்துகின்றனர். செயல்பாட்டின் திறன்கள் மற்றும் இலக்கு, ஆபரேட்டர் கட்டளைகளுக்காகக் காத்திருக்கும் நீண்டகால, மட்டு உள்வைப்புகளுடன் ஒரு கவனம் செலுத்தப்பட்ட பிராந்திய நுண்ணறிவு சேகரிப்பு முயற்சியை பரிந்துரைக்கின்றன.