Multi-License Discount Quote
Banta sa Database Remote Administration Tools Holding Hands RAT

Holding Hands RAT

Sa pamamagitan ng Mezo sa Remote Administration Tools, Advanced Persistent Threat (APT)
Isalin To:

Ang mga banta ng aktor sa likod ng pamilya ng malware ng Winos 4.0 (sinusubaybayan din bilang ValleyRAT) ay nagpalawak ng kanilang mga operasyon sa kabila ng China at Taiwan upang i-target ang Japan at Malaysia. Sa mga kamakailang campaign na ito, naghatid ang grupo ng pangalawang remote-access trojan (RAT) na kinilala bilang HoldingHands (aka Gh0stBins), gamit ang socially engineered phishing na mga dokumento bilang pangunahing vector.

Paano Kumakalat ang Kampanya

Ipinapamahagi ng mga attacker ang malware sa pamamagitan ng mga phishing na email na may kasamang mga PDF attachment na may naka-embed na malisyosong link. Ang mga PDF ay nagpapanggap bilang mga opisyal na komunikasyon — sa ilang mga kaso, nagpapanggap bilang mga dokumento ng Ministri ng Pananalapi — at naglalaman ng maraming link, isa lang ang humahantong sa malisyosong pag-download. Sa ibang mga insidente, ang pang-akit ay isang web page (halimbawa, isang Japanese-language page na naka-host sa isang URL tulad ng 'twsww[.]xin/download[.]html') na nag-uudyok sa mga biktima na kumuha ng ZIP archive na naglalaman ng RAT.

Mga Paraan at Pagpapatungkol sa Pamamahagi

Karaniwang pinapalaganap ang Winos 4.0 sa pamamagitan ng mga kampanyang phishing at SEO-poisoning na nagre-redirect ng mga biktima sa mga huwad na pahina ng pag-download na nagpapanggap bilang lehitimong software (mga halimbawang naobserbahan ay kinabibilangan ng mga pekeng installer para sa Google Chrome, Telegram, Youdao, Sogou AI, WPS Office, at DeepSeek). Iniuugnay ng mga mananaliksik sa seguridad ang paggamit ng Winos sa isang agresibong cybercriminal cluster na kilala sa iba't ibang paraan bilang Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000, at Void Arachne. Noong Setyembre 2025, iniulat ng mga mananaliksik na inabuso ng aktor na ito ang isang dating hindi dokumentado na masusugatan na driver na kasama ng isang produkto ng vendor na tinatawag na WatchDog Anti-malware sa isang diskarteng BYOVD (Bring Your Own Vulnerable Driver) para i-disable ang proteksyon sa endpoint. Mas maaga (Agosto 2025), gumamit ang grupo ng SEO poisoning para maikalat ang HiddenGh0st at Winos modules, at ang pag-uulat noong Hunyo ay nakadokumento sa Silver Fox gamit ang mga booby-trap na PDF upang magsagawa ng mga multi-step na impeksyon na sa huli ay nag-deploy ng HoldingHands RAT. Kasama sa mga makasaysayang pang-akit ang mga Excel file na may temang pagbubuwis na ginamit laban sa China mula Marso 2024; ang mga kamakailang pagsisikap ay lumipat sa mga landing page ng phishing na naka-target sa Malaysia.

Multi-stage na Impeksyon At Pagtitiyaga

Karaniwang nagsisimula ang impeksyon sa isang executable na pagbabalatkayo bilang excise audit o iba pang opisyal na dokumento. Ang executable na iyon ay nag-sideload ng isang nakakahamak na DLL, na gumaganap bilang isang shellcode loader para sa isang payload na pinangalanang 'sw.dat.' Ang loader ay nagsasagawa ng ilang mga anti-analysis at defensive na aksyon — mga anti-VM na pagsusuri, pag-scan sa mga tumatakbong proseso para sa mga kilalang produkto ng seguridad at pagwawakas sa mga ito, pagpapataas ng mga pribilehiyo, at hindi pagpapagana ng Windows Task Scheduler — bago ibigay ang kontrol sa mga susunod na yugto.

Ang mga file na naobserbahan ay nahulog sa system:

  • svchost.ini — naglalaman ng RVA para sa VirtualAlloc.
  • TimeBrokerClient.dll (ang lehitimong TimeBrokerClient.dll ay pinalitan ng pangalan sa BrokerClientCallback.dll).
  • msvchost.dat — naka-encrypt na shellcode.
  • system.dat — naka-encrypt na payload.
  • wkscli.dll — hindi nagamit/placeholder DLL.

    • Trigger ng Task Scheduler At Palihim na Pag-activate

    Sa halip na umasa sa isang tahasang paglulunsad ng proseso, ginagamit ng kampanya ang pag-uugali ng Windows Task Scheduler: Tumatakbo ang Task Scheduler bilang isang serbisyo sa ilalim ng svchost.exe at bilang default ay naka-configure upang mag-restart sa ilang sandali matapos ang pagkabigo. Binabago ng malware ang mga file upang kapag nag-restart ang serbisyo ng Task Scheduler, nilo-load ng svchost.exe ang nakakahamak na TimeBrokerClient.dll (pinangalanang BrokerClientCallback.dll). Ang DLL na iyon ay naglalaan ng memorya para sa naka-encrypt na shellcode gamit ang VirtualAlloc address na nakaimbak sa svchost.ini, pagkatapos ay nagiging sanhi ng msvchost.dat na i-decrypt ang system.dat at i-extract ang HoldingHands payload. Ang 'service restart → DLL load' trigger na ito ay binabawasan ang pangangailangan para sa direktang pagpapatupad ng proseso at nagpapalubha sa pagtukoy na batay sa pag-uugali.

    Pagtaas ng Pribilehiyo Sa TrustedInstaller

    Upang makuha ang mga pahintulot na kinakailangan upang palitan ang pangalan at palitan ang mga protektadong bahagi ng system (halimbawa, pagpapalit ng pangalan sa tunay na TimeBrokerClient.dll), ang loader ay nagpapanggap bilang mga account ng system na may mataas na pribilehiyo. Ang pagkakasunod-sunod na sinusunod ay:

    • Paganahin ang SeDebugPrivilege upang ma-access ang proseso ng Winlogon at ang token nito.
    • I-adopt ang Winlogon token para tumakbo bilang SYSTEM.
    • Mula sa SYSTEM, kumuha ng isang TrustedInstaller na konteksto ng seguridad — ang account na ginagamit ng Windows Resource Protection upang bantayan ang mga kritikal na OS file.
    • Gamit ang kontekstong TrustedInstaller na iyon, maaaring baguhin ng malware ang mga protektadong file sa C:\Windows\System32 (isang pagkilos na karaniwang pinaghihigpitan kahit para sa mga administrator).

    Paano Isinasagawa At Pinapanatili ng Payload ang Kontrol

    Ang malisyosong bahagi ng TimeBrokerClient ay naglalaan ng memorya sa bawat RVA sa svchost.ini, inilalagay ang na-decrypt na shellcode mula sa msvchost.dat doon, at pinapatakbo ito. Ang decrypted payload ay nag-unpack ng HoldingHands, na pagkatapos ay nagtatatag ng mga komunikasyon sa isang remote command-and-control (C2) server. Ang mga naobserbahang kakayahan ay kinabibilangan ng:

    • Pagpapadala ng impormasyon ng host sa C2.
    • Nagpapadala ng mga mensahe ng tibok ng puso bawat 60 segundo upang panatilihing buhay ang channel.
  • Pagtanggap at pagpapatupad ng mga malayuang utos (pagnanakaw ng data, arbitrary na pagpapatupad ng utos, pagkuha ng mga karagdagang payload).
  • Isang karagdagang feature na nagpapahintulot sa operator na i-update ang C2 address sa pamamagitan ng Windows Registry entry.

    • Pag-target, Pokus sa Wika, At Malamang na Motibo

    Ang mga kamakailang sample at pang-akit ay nagpapahiwatig ng pagtutok sa mga biktima ng wikang Chinese, kahit na kasama na ngayon sa heyograpikong saklaw ang Japan at Malaysia. Ang operational patterns — reconnaissance, regional targeting, stealthy persistence, at modular backdoor functionality — ay tumuturo sa intelligence collection sa rehiyon, kung saan ang mga implant ay madalas na naiwang tulog habang nakabinbin ang mga karagdagang tagubilin.

    Buod

    Pinalawak ng mga operator na naka-link sa Silver Fox ang Winos 4.0 na aktibidad at idinagdag ang HoldingHands RAT sa kanilang toolset, gamit ang pinakintab na social-engineering (mga PDF at SEO-poisoned page) at isang sopistikadong multi-stage execution chain na umaabuso sa gawi ng Task Scheduler at TrustedInstaller na mga pribilehiyo para magpatuloy at makaiwas sa pagtukoy. Ang mga kakayahan at pag-target ng operasyon ay nagmumungkahi ng isang nakatuong panrehiyong pagsisikap sa pagkolekta ng intelligence na may mahabang buhay, modular na implant na naghihintay para sa mga utos ng operator.

    Trending

    Pinaka Nanood

    Naglo-load...