HoldingHands RAT

Winos 4.0 మాల్వేర్ కుటుంబం (ValleyRAT అని కూడా పిలుస్తారు) వెనుక ఉన్న బెదిరింపు నటులు జపాన్ మరియు మలేషియాను లక్ష్యంగా చేసుకోవడానికి చైనా మరియు తైవాన్‌లకు మించి తమ కార్యకలాపాలను విస్తరించారు. ఈ ఇటీవలి ప్రచారాలలో, ఆ బృందం సామాజికంగా ఇంజనీరింగ్ చేయబడిన ఫిషింగ్ పత్రాలను ప్రాథమిక వెక్టర్‌గా ఉపయోగించి హోల్డింగ్‌హ్యాండ్స్ (aka Gh0stBins)గా గుర్తించబడిన రెండవ రిమోట్-యాక్సెస్ ట్రోజన్ (RAT)ను అందించింది.

ప్రచారం ఎలా వ్యాపిస్తుంది

దాడి చేసేవారు ఫిషింగ్ ఇమెయిల్‌ల ద్వారా మాల్వేర్‌ను పంపిణీ చేస్తారు, వీటిలో ఎంబెడెడ్ హానికరమైన లింక్‌లతో కూడిన PDF అటాచ్‌మెంట్‌లు ఉంటాయి. PDFలు అధికారిక కమ్యూనికేషన్‌లను అనుకరిస్తాయి - కొన్ని సందర్భాల్లో, ఆర్థిక మంత్రిత్వ శాఖ పత్రాలుగా నటిస్తూ - మరియు బహుళ లింక్‌లను కలిగి ఉంటాయి, వాటిలో ఒకటి మాత్రమే హానికరమైన డౌన్‌లోడ్‌కు దారితీస్తుంది. ఇతర సంఘటనలలో, ఆకర్షణ అనేది వెబ్ పేజీ (ఉదాహరణకు, 'twsww[.]xin/download[.]html' వంటి URLలో హోస్ట్ చేయబడిన జపనీస్ భాషా పేజీ), ఇది బాధితులను RAT కలిగి ఉన్న ZIP ఆర్కైవ్‌ను పొందమని ప్రేరేపిస్తుంది.

పంపిణీ పద్ధతులు మరియు ఆపాదింపు

Winos 4.0 సాధారణంగా ఫిషింగ్ మరియు SEO-పాయిజనింగ్ ప్రచారాల ద్వారా ప్రచారం చేయబడుతుంది, ఇవి బాధితులను చట్టబద్ధమైన సాఫ్ట్‌వేర్‌గా నటిస్తూ నకిలీ డౌన్‌లోడ్ పేజీలకు దారి మళ్లిస్తాయి (ఉదాహరణలలో Google Chrome, Telegram, Youdao, Sogou AI, WPS Office మరియు DeepSeek కోసం నకిలీ ఇన్‌స్టాలర్‌లు ఉన్నాయి). భద్రతా పరిశోధకులు Winos వాడకాన్ని సిల్వర్ ఫాక్స్, స్విమ్‌స్నేక్, వ్యాలీ థీఫ్ (ది గ్రేట్ థీఫ్ ఆఫ్ వ్యాలీ), UTG-Q-1000 మరియు వాయిడ్ అరాచ్నే అని పిలువబడే దూకుడు సైబర్ క్రిమినల్ క్లస్టర్‌తో లింక్ చేస్తారు. సెప్టెంబర్ 2025లో, ఎండ్‌పాయింట్ రక్షణను నిలిపివేయడానికి BYOVD (బ్రింగ్ యువర్ ఓన్ వల్నరబుల్ డ్రైవర్) టెక్నిక్‌లో వాచ్‌డాగ్ యాంటీ-మాల్వేర్ అనే విక్రేత ఉత్పత్తితో కూడిన గతంలో నమోదుకాని దుర్బల డ్రైవర్‌ను ఈ నటుడు దుర్వినియోగం చేసినట్లు పరిశోధకులు నివేదించారు. అంతకుముందు (ఆగస్టు 2025), సమూహం HiddenGh0st మరియు Winos మాడ్యూల్‌లను వ్యాప్తి చేయడానికి SEO పాయిజనింగ్‌ను ఉపయోగించింది మరియు జూన్ రిపోర్టింగ్ సిల్వర్ ఫాక్స్‌ను బూబీ-ట్రాప్డ్ PDFలను ఉపయోగించి బహుళ-దశల ఇన్‌ఫెక్షన్‌లను దశలవారీగా నిర్వహించింది, ఇది చివరికి హోల్డింగ్‌హ్యాండ్స్ RATని అమలు చేసింది. మార్చి 2024 నాటి చైనాకు వ్యతిరేకంగా ఉపయోగించిన పన్ను-నేపథ్య ఎక్సెల్ ఫైల్‌లు చారిత్రాత్మక ఆకర్షణలలో ఉన్నాయి; ఇటీవలి ప్రయత్నాలు మలేషియా-లక్ష్యంగా ఉన్న ఫిషింగ్ ల్యాండింగ్ పేజీలకు మారాయి.

బహుళ-దశల సంక్రమణ మరియు నిలకడ

ఈ ఇన్ఫెక్షన్ సాధారణంగా ఎక్సైజ్ ఆడిట్ లేదా ఇతర అధికారిక పత్రం వలె అమలు చేయగల ఒక నకిలీతో ప్రారంభమవుతుంది. ఆ అమలు చేయగల ఒక హానికరమైన DLLను సైడ్‌లోడ్ చేస్తుంది, ఇది 'sw.dat' అనే పేలోడ్‌కు షెల్‌కోడ్ లోడర్‌గా పనిచేస్తుంది. లోడర్ అనేక యాంటీ-విశ్లేషణ మరియు రక్షణాత్మక చర్యలను నిర్వహిస్తుంది - యాంటీ-VM తనిఖీలు, తెలిసిన భద్రతా ఉత్పత్తుల కోసం నడుస్తున్న ప్రక్రియలను స్కాన్ చేయడం మరియు వాటిని ముగించడం, అధికారాలను పెంచడం మరియు Windows టాస్క్ షెడ్యూలర్‌ను నిలిపివేయడం - తదుపరి దశలకు నియంత్రణను అప్పగించే ముందు.

గమనించిన ఫైల్‌లు సిస్టమ్‌లోకి పడిపోయాయి:

• svchost.ini — VirtualAlloc కోసం RVAని కలిగి ఉంటుంది.
• TimeBrokerClient.dll (చట్టబద్ధమైన TimeBrokerClient.dll పేరు BrokerClientCallback.dll గా మార్చబడింది).

• msvchost.dat — ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్.

• system.dat — ఎన్‌క్రిప్టెడ్ పేలోడ్.

• wkscli.dll — ఉపయోగించని/ప్లేస్‌హోల్డర్ DLL.

టాస్క్ షెడ్యూలర్ ట్రిగ్గర్ మరియు స్టెల్తీ యాక్టివేషన్

స్పష్టమైన ప్రాసెస్ లాంచ్ పై ఆధారపడకుండా, ఈ ప్రచారం Windows టాస్క్ షెడ్యూలర్ ప్రవర్తనను ప్రభావితం చేస్తుంది: టాస్క్ షెడ్యూలర్ svchost.exe కింద ఒక సేవగా నడుస్తుంది మరియు డిఫాల్ట్‌గా విఫలమైన వెంటనే పునఃప్రారంభించబడేలా కాన్ఫిగర్ చేయబడుతుంది. టాస్క్ షెడ్యూలర్ సేవ పునఃప్రారంభించబడినప్పుడు, svchost.exe హానికరమైన TimeBrokerClient.dll (BrokerClientCallback.dll గా పేరు మార్చబడింది) ను లోడ్ చేసే విధంగా మాల్వేర్ ఫైళ్లను మారుస్తుంది. ఆ DLL svchost.ini లో నిల్వ చేయబడిన VirtualAlloc చిరునామాను ఉపయోగించి ఎన్‌క్రిప్టెడ్ షెల్‌కోడ్ కోసం మెమరీని కేటాయిస్తుంది, ఆపై msvchost.dat system.dat ని డీక్రిప్ట్ చేయడానికి మరియు హోల్డింగ్‌హ్యాండ్స్ పేలోడ్‌ను సంగ్రహించడానికి కారణమవుతుంది. ఈ 'సర్వీస్ రీస్టార్ట్ → DLL లోడ్' ట్రిగ్గర్ ప్రత్యక్ష ప్రక్రియ అమలు అవసరాన్ని తగ్గిస్తుంది మరియు ప్రవర్తన-ఆధారిత గుర్తింపును క్లిష్టతరం చేస్తుంది.

TrustedInstaller కి ప్రత్యేక హక్కుల పెంపు

రక్షిత సిస్టమ్ భాగాల పేరు మార్చడానికి మరియు భర్తీ చేయడానికి అవసరమైన అనుమతులను పొందడానికి (ఉదాహరణకు, నిజమైన TimeBrokerClient.dll పేరు మార్చడం), లోడర్ అధిక-ప్రత్యేక వ్యవస్థ ఖాతాలను అనుకరిస్తుంది. గమనించిన క్రమం:

• Winlogon ప్రాసెస్ మరియు దాని టోకెన్‌ను యాక్సెస్ చేయడానికి SeDebugPrivilege ని ప్రారంభించండి.
• SYSTEM గా అమలు చేయడానికి Winlogon టోకెన్‌ను స్వీకరించండి.
• SYSTEM నుండి, TrustedInstaller భద్రతా సందర్భాన్ని పొందండి — ఇది కీలకమైన OS ఫైల్‌లను రక్షించడానికి Windows Resource Protection ఉపయోగించే ఖాతా.
• ఆ TrustedInstaller సందర్భాన్ని ఉపయోగించి, మాల్వేర్ C:\Windows\System32 (సాధారణంగా నిర్వాహకులకు కూడా పరిమితం చేయబడిన చర్య) లోని రక్షిత ఫైల్‌లను సవరించగలదు.

పేలోడ్ ఎలా అమలు అవుతుంది మరియు నియంత్రణను నిర్వహిస్తుంది

హానికరమైన TimeBrokerClient భాగం svchost.ini లో RVA ప్రకారం మెమరీని కేటాయిస్తుంది, msvchost.dat నుండి డీక్రిప్ట్ చేయబడిన షెల్‌కోడ్‌ను అక్కడ ఉంచుతుంది మరియు దానిని అమలు చేస్తుంది. డీక్రిప్ట్ చేయబడిన పేలోడ్ హోల్డింగ్‌హ్యాండ్స్‌ను అన్‌ప్యాక్ చేస్తుంది, ఇది రిమోట్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేషన్‌లను ఏర్పాటు చేస్తుంది. గమనించిన సామర్థ్యాలు:

• హోస్ట్ సమాచారాన్ని C2 కి పంపుతోంది.
• ఛానెల్‌ను సజీవంగా ఉంచడానికి ప్రతి 60 సెకన్లకు హృదయ స్పందన సందేశాలను పంపుతోంది.
• రిమోట్ ఆదేశాలను స్వీకరించడం మరియు అమలు చేయడం (డేటా దొంగతనం, ఏకపక్ష ఆదేశాల అమలు, అదనపు పేలోడ్‌లను పొందడం).

• విండోస్ రిజిస్ట్రీ ఎంట్రీ ద్వారా C2 చిరునామాను నవీకరించడానికి ఆపరేటర్‌ను అనుమతించే అదనపు ఫీచర్.

లక్ష్యం చేసుకోవడం, భాషా దృష్టి, మరియు సంభావ్య ఉద్దేశ్యం

ఇటీవలి నమూనాలు మరియు ఎరలు చైనా భాషా బాధితులపై దృష్టి సారించినట్లు సూచిస్తున్నాయి, అయితే భౌగోళిక పరిధిలో ఇప్పుడు జపాన్ మరియు మలేషియా ఉన్నాయి. కార్యాచరణ నమూనాలు - నిఘా, ప్రాంతీయ లక్ష్యం, దొంగతనంగా ఉండే పట్టుదల మరియు మాడ్యులర్ బ్యాక్‌డోర్ కార్యాచరణ - ఈ ప్రాంతంలో నిఘా సేకరణను సూచిస్తున్నాయి, ఇంప్లాంట్లు తరచుగా తదుపరి సూచనల కోసం నిద్రాణంగా ఉంటాయి.

సారాంశం

సిల్వర్ ఫాక్స్-లింక్డ్ ఆపరేటర్లు Winos 4.0 కార్యాచరణను విస్తరించారు మరియు వారి టూల్‌సెట్‌కు హోల్డింగ్‌హ్యాండ్స్ RATని జోడించారు, మెరుగుపెట్టిన సోషల్-ఇంజనీరింగ్ (PDFలు మరియు SEO-పాయిజన్డ్ పేజీలు) మరియు టాస్క్ షెడ్యూలర్ ప్రవర్తన మరియు ట్రస్టెడ్ ఇన్‌స్టాలర్ అధికారాలను దుర్వినియోగం చేసే అధునాతన బహుళ-దశల అమలు గొలుసును ఉపయోగించి గుర్తింపును కొనసాగించడానికి మరియు తప్పించుకోవడానికి ప్రయత్నించారు. ఆపరేషన్ యొక్క సామర్థ్యాలు మరియు లక్ష్యం ఆపరేటర్ ఆదేశాల కోసం వేచి ఉన్న దీర్ఘకాలిక, మాడ్యులర్ ఇంప్లాంట్‌లతో కేంద్రీకృత ప్రాంతీయ నిఘా సేకరణ ప్రయత్నాన్ని సూచిస్తున్నాయి.