HoldingHands RAT
ผู้ก่อภัยคุกคามที่อยู่เบื้องหลังมัลแวร์ตระกูล Winos 4.0 (หรือที่ติดตามในชื่อ ValleyRAT) ได้ขยายการปฏิบัติการออกไปนอกประเทศจีนและไต้หวัน เพื่อโจมตีญี่ปุ่นและมาเลเซีย ในแคมเปญล่าสุดนี้ กลุ่มนี้ได้ส่งโทรจันเข้าถึงระยะไกล (RAT) ตัวที่สอง ซึ่งระบุว่าเป็น HoldingHands (หรือ Gh0stBins) โดยใช้เอกสารฟิชชิ่งที่ถูกออกแบบทางสังคมเป็นช่องทางหลัก
สารบัญ
แคมเปญแพร่กระจายอย่างไร
ผู้โจมตีแพร่กระจายมัลแวร์ผ่านอีเมลฟิชชิงที่มีไฟล์แนบ PDF พร้อมลิงก์อันตรายฝังอยู่ ไฟล์ PDF เหล่านี้ปลอมแปลงเป็นการสื่อสารอย่างเป็นทางการ ในบางกรณีปลอมแปลงเป็นเอกสารของกระทรวงการคลัง และมีลิงก์หลายลิงก์ ซึ่งมีเพียงลิงก์เดียวเท่านั้นที่นำไปสู่การดาวน์โหลดที่เป็นอันตราย ในกรณีอื่นๆ เหยื่อล่อคือเว็บเพจ (เช่น หน้าเว็บภาษาญี่ปุ่นที่โฮสต์อยู่ที่ URL เช่น 'twsww[.]xin/download[.]html') ซึ่งแจ้งให้เหยื่อดึงไฟล์ ZIP ที่มี RAT อยู่
วิธีการจัดจำหน่ายและการระบุแหล่งที่มา
Winos 4.0 มักแพร่กระจายผ่านแคมเปญฟิชชิ่งและ SEO-poisoning ที่เปลี่ยนเส้นทางเหยื่อไปยังหน้าดาวน์โหลดปลอมที่แอบอ้างว่าเป็นซอฟต์แวร์ถูกกฎหมาย (ตัวอย่างที่พบ ได้แก่ โปรแกรมติดตั้งปลอมสำหรับ Google Chrome, Telegram, Youdao, Sogou AI, WPS Office และ DeepSeek) นักวิจัยด้านความปลอดภัยเชื่อมโยงการใช้งาน Winos กับกลุ่มอาชญากรไซเบอร์ที่ก้าวร้าว ซึ่งรู้จักกันในชื่อ Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 และ Void Arachne ในเดือนกันยายน พ.ศ. 2568 นักวิจัยรายงานว่าผู้กระทำความผิดรายนี้ใช้ไดรเวอร์ที่มีช่องโหว่ซึ่งไม่เคยมีการบันทึกมาก่อนร่วมกับผลิตภัณฑ์ของผู้ผลิตชื่อ WatchDog Anti-malware ในเทคนิค BYOVD (Bring Your Own Vulnerable Driver) เพื่อปิดใช้งานการป้องกันปลายทาง ก่อนหน้านี้ (สิงหาคม 2568) กลุ่มนี้ได้ใช้ SEO poisoning เพื่อแพร่กระจายโมดูล HiddenGh0st และ Winos และรายงานในเดือนมิถุนายนได้บันทึก Silver Fox ที่ใช้ไฟล์ PDF ที่มีกับดักเพื่อวางกับดักหลายขั้นตอน ซึ่งท้ายที่สุดก็ใช้ HoldingHands RAT เหยื่อล่อในอดีต ได้แก่ ไฟล์ Excel ที่เกี่ยวข้องกับภาษีที่ใช้โจมตีจีนตั้งแต่เดือนมีนาคม 2567 ความพยายามล่าสุดได้เปลี่ยนมาใช้หน้า Landing Page ฟิชชิ่งที่กำหนดเป้าหมายไปยังมาเลเซีย
การติดเชื้อหลายระยะและการคงอยู่
โดยทั่วไปการติดเชื้อจะเริ่มต้นด้วยไฟล์ปฏิบัติการที่ปลอมแปลงเป็นเอกสารการตรวจสอบภาษีสรรพสามิตหรือเอกสารราชการอื่นๆ ไฟล์ปฏิบัติการดังกล่าวจะโหลดไฟล์ DLL ที่เป็นอันตราย ซึ่งทำหน้าที่เป็นตัวโหลดเชลล์โค้ดสำหรับเพย์โหลดชื่อ 'sw.dat' ตัวโหลดจะดำเนินการป้องกันการวิเคราะห์และป้องกันหลายอย่าง เช่น การตรวจสอบป้องกัน VM การสแกนกระบวนการที่กำลังทำงานเพื่อค้นหาผลิตภัณฑ์รักษาความปลอดภัยที่รู้จักและยุติการทำงาน การเพิ่มสิทธิ์ และปิดใช้งาน Windows Task Scheduler ก่อนที่จะส่งต่อการควบคุมไปยังขั้นตอนถัดไป
ไฟล์ที่ตรวจพบถูกทิ้งลงในระบบ:
- svchost.ini — มี RVA สำหรับ VirtualAlloc
- TimeBrokerClient.dll (TimeBrokerClient.dll ที่ถูกต้องเปลี่ยนชื่อเป็น BrokerClientCallback.dll)
- msvchost.dat — เชลล์โค้ดที่เข้ารหัส
- system.dat — เพย์โหลดที่เข้ารหัส
- wkscli.dll — DLL ที่ไม่ได้ใช้/แทนที่
ทริกเกอร์ตัวกำหนดเวลางานและการเปิดใช้งานแบบแอบแฝง
แทนที่จะพึ่งพาการเปิดกระบวนการที่ชัดเจน แคมเปญนี้ใช้ประโยชน์จากพฤติกรรมของ Windows Task Scheduler: Task Scheduler จะทำงานเป็นบริการภายใต้ svchost.exe และถูกกำหนดค่าเริ่มต้นให้รีสตาร์ทหลังจากเกิดความล้มเหลวไม่นาน มัลแวร์จะเปลี่ยนแปลงไฟล์ต่างๆ เพื่อให้เมื่อบริการ Task Scheduler รีสตาร์ท svchost.exe จะโหลด TimeBrokerClient.dll ที่เป็นอันตราย (เปลี่ยนชื่อเป็น BrokerClientCallback.dll) DLL ดังกล่าวจะจัดสรรหน่วยความจำสำหรับ shellcode ที่เข้ารหัสโดยใช้ที่อยู่ VirtualAlloc ที่เก็บไว้ใน svchost.ini จากนั้นจึงทำให้ msvchost.dat ถอดรหัส system.dat และดึงข้อมูลเพย์โหลด HoldingHands ออกมา ทริกเกอร์ 'service restart → DLL load' นี้ช่วยลดความจำเป็นในการดำเนินการกระบวนการโดยตรงและทำให้การตรวจจับตามพฤติกรรมมีความซับซ้อนมากขึ้น
การยกระดับสิทธิ์ไปยัง TrustedInstaller
เพื่อรับสิทธิ์ที่จำเป็นในการเปลี่ยนชื่อและแทนที่ส่วนประกอบระบบที่ได้รับการป้องกัน (เช่น การเปลี่ยนชื่อ TimeBrokerClient.dll ที่เป็นของแท้) ตัวโหลดจะปลอมแปลงบัญชีระบบที่มีสิทธิ์สูง ลำดับที่สังเกตได้คือ:
- เปิดใช้งาน SeDebugPrivilege เพื่อเข้าถึงกระบวนการ Winlogon และโทเค็นของมัน
- นำโทเค็น Winlogon มาใช้งานเป็นระบบ
- จากระบบ รับบริบทความปลอดภัย TrustedInstaller — บัญชีที่ใช้โดย Windows Resource Protection เพื่อปกป้องไฟล์ระบบปฏิบัติการที่สำคัญ
- เมื่อใช้บริบท TrustedInstaller มัลแวร์สามารถแก้ไขไฟล์ที่ได้รับการป้องกันใน C:\Windows\System32 ได้ (ซึ่งโดยปกติแล้วการกระทำนี้จะถูกจำกัดแม้แต่สำหรับผู้ดูแลระบบ)
เพย์โหลดดำเนินการและควบคุมอย่างไร
คอมโพเนนต์ TimeBrokerClient ที่เป็นอันตรายจะจัดสรรหน่วยความจำตาม RVA ในไฟล์ svchost.ini วางเชลล์โค้ดที่ถอดรหัสแล้วจากไฟล์ msvchost.dat ไว้ที่นั่น และรันมัน เพย์โหลดที่ถอดรหัสแล้วจะแยก HoldingHands ซึ่งจะสร้างการสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุมระยะไกล (C2) ความสามารถที่สังเกตได้ประกอบด้วย:
- การส่งข้อมูลโฮสต์ไปยัง C2
- ส่งข้อความจังหวะการเต้นของหัวใจทุกๆ 60 วินาทีเพื่อให้ช่องยังคงทำงานอยู่
- การรับและการดำเนินการคำสั่งระยะไกล (การขโมยข้อมูล การดำเนินการคำสั่งโดยพลการ การดึงข้อมูลเพิ่มเติม)
- คุณลักษณะเพิ่มเติมที่อนุญาตให้ผู้ปฏิบัติงานอัปเดตที่อยู่ C2 ผ่านรายการรีจิสทรีของ Windows
การกำหนดเป้าหมาย โฟกัสภาษา และแรงจูงใจที่เป็นไปได้
ตัวอย่างและเหยื่อล่อล่าสุดบ่งชี้ว่าเหยื่อที่ใช้ภาษาจีนเป็นเป้าหมาย แม้ว่าขอบเขตทางภูมิศาสตร์ในปัจจุบันจะครอบคลุมถึงญี่ปุ่นและมาเลเซียแล้วก็ตาม รูปแบบการปฏิบัติการต่างๆ เช่น การลาดตระเวน การกำหนดเป้าหมายตามภูมิภาค การคงอยู่อย่างลับๆ และฟังก์ชันแบ็คดอร์แบบแยกส่วน ชี้ให้เห็นถึงการรวบรวมข่าวกรองในภูมิภาค โดยข้อมูลฝังตัวมักถูกปล่อยทิ้งไว้เฉยๆ รอคำสั่งเพิ่มเติม
สรุป
ผู้ปฏิบัติการที่เชื่อมโยงกับ Silver Fox ได้ขยายกิจกรรมของ Winos 4.0 และเพิ่ม HoldingHands RAT ลงในชุดเครื่องมือ โดยใช้วิศวกรรมสังคมที่ล้ำสมัย (ไฟล์ PDF และหน้าเว็บที่เน้น SEO) และห่วงโซ่การดำเนินการแบบหลายขั้นตอนที่ซับซ้อน ซึ่งใช้พฤติกรรม Task Scheduler และสิทธิ์ TrustedInstaller ในทางที่ผิดเพื่อคงอยู่และหลบเลี่ยงการตรวจจับ ความสามารถและการกำหนดเป้าหมายของปฏิบัติการนี้ชี้ให้เห็นถึงความพยายามในการรวบรวมข้อมูลข่าวกรองระดับภูมิภาคที่มุ่งเน้นการฝังโมดูลาร์แบบถาวรที่รอคำสั่งจากผู้ปฏิบัติการ
