Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Uzaktan Yönetim Araçları HoldingHands RAT

HoldingHands RAT

Mezo'de Uzaktan Yönetim Araçları, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Winos 4.0 kötü amaçlı yazılım ailesinin (ValleyRAT olarak da biliniyor) arkasındaki tehdit aktörleri, faaliyetlerini Çin ve Tayvan'ın ötesine taşıyarak Japonya ve Malezya'yı hedef aldı. Bu son saldırılarda grup, sosyal mühendislikle oluşturulmuş kimlik avı belgelerini birincil hedef olarak kullanarak HoldingHands (diğer adıyla Gh0stBins) olarak tanımlanan ikinci bir uzaktan erişimli trojan (RAT) gönderdi.

Kampanya Nasıl Yayılıyor?

Saldırganlar, kötü amaçlı yazılımları, gömülü kötü amaçlı bağlantılar içeren PDF ekleri içeren kimlik avı e-postaları aracılığıyla dağıtır. PDF'ler, resmi iletişimleri taklit eder (bazı durumlarda Maliye Bakanlığı belgeleri gibi görünür) ve yalnızca biri kötü amaçlı indirmeye yönlendiren birden fazla bağlantı içerir. Diğer vakalarda ise, hedef, kurbanları RAT içeren bir ZIP arşivini indirmeye yönlendiren bir web sayfasıdır (örneğin, 'twsww[.]xin/download[.]html' gibi bir URL'de barındırılan Japonca bir sayfa).

Dağıtım Yöntemleri ve Atıf

Winos 4.0, kurbanları meşru yazılım gibi görünen sahte indirme sayfalarına yönlendiren kimlik avı ve SEO zehirleme kampanyaları yoluyla yaygın olarak yayılmaktadır (gözlemlenen örnekler arasında Google Chrome, Telegram, Youdao, Sogou AI, WPS Office ve DeepSeek için sahte yükleyiciler yer almaktadır). Güvenlik araştırmacıları, Winos kullanımını Silver Fox, SwimSnake, Valley Thief (Valley'nin Büyük Hırsızı), UTG-Q-1000 ve Void Arachne gibi çeşitli adlarla bilinen saldırgan bir siber suçlu kümesiyle ilişkilendirmektedir. Eylül 2025'te araştırmacılar, bu saldırganın uç nokta korumasını devre dışı bırakmak için BYOVD (Kendi Güvenlik Açığı Sürücünüzü Getirin) tekniğini kullanarak WatchDog Anti-malware adlı bir satıcı ürünüyle birlikte gelen daha önce belgelenmemiş güvenlik açığı olan bir sürücüyü kötüye kullandığını bildirdi. Daha önce (Ağustos 2025), grup HiddenGh0st ve Winos modüllerini yaymak için SEO zehirlenmesi kullanmıştı ve Haziran ayındaki raporlarda, Silver Fox'un tuzaklı PDF'ler kullanarak çok aşamalı enfeksiyonlar oluşturduğu ve sonunda HoldingHands RAT'ı devreye soktuğu belgelenmişti. Tarihi tuzaklar arasında, Mart 2024'e kadar uzanan Çin'e karşı kullanılan vergi temalı Excel dosyaları da yer alıyor; son dönemdeki çabalar, Malezya hedefli kimlik avı açılış sayfalarına kaydırıldı.

Çok Aşamalı Enfeksiyon ve Kalıcılık

Enfeksiyon genellikle, bir vergi denetimi veya başka bir resmi belge gibi görünen bir yürütülebilir dosyayla başlar. Bu yürütülebilir dosya, 'sw.dat' adlı bir yük için kabuk kodu yükleyicisi görevi gören kötü amaçlı bir DLL'yi yükler. Yükleyici, sanal makine denetimi, çalışan işlemleri bilinen güvenlik ürünleri açısından tarayıp sonlandırma, ayrıcalıkları artırma ve Windows Görev Zamanlayıcısı'nı devre dışı bırakma gibi çeşitli anti-analiz ve savunma eylemleri gerçekleştirir ve ardından kontrolü sonraki aşamalara devreder.

Sisteme bırakılan dosyalar gözlemlendi:

  • svchost.ini — VirtualAlloc için RVA'yı içerir.
  • TimeBrokerClient.dll (meşru TimeBrokerClient.dll, BrokerClientCallback.dll olarak yeniden adlandırılmıştır).
  • msvchost.dat — şifrelenmiş kabuk kodu.
  • system.dat — şifrelenmiş yük.
  • wkscli.dll — kullanılmayan/yer tutucu DLL.

    • Görev Zamanlayıcı Tetikleyicisi ve Gizli Etkinleştirme

    Kampanya, açık bir işlem başlatmaya güvenmek yerine, Windows Görev Zamanlayıcı davranışından yararlanır: Görev Zamanlayıcı, svchost.exe altında bir hizmet olarak çalışır ve varsayılan olarak arızadan kısa bir süre sonra yeniden başlatılacak şekilde yapılandırılmıştır. Kötü amaçlı yazılım, Görev Zamanlayıcı hizmeti yeniden başlatıldığında svchost.exe'nin kötü amaçlı TimeBrokerClient.dll dosyasını (BrokerClientCallback.dll olarak yeniden adlandırılmıştır) yüklemesini sağlayacak şekilde dosyaları değiştirir. Bu DLL, svchost.ini dosyasında depolanan VirtualAlloc adresini kullanarak şifrelenmiş kabuk kodu için bellek ayırır ve ardından msvchost.dat dosyasının system.dat dosyasını şifresini çözerek HoldingHands yükünü çıkarmasına neden olur. Bu "hizmet yeniden başlat → DLL yükle" tetikleyicisi, doğrudan işlem yürütme ihtiyacını azaltır ve davranışa dayalı algılamayı zorlaştırır.

    TrustedInstaller'a Ayrıcalık Yükseltme

    Korunan sistem bileşenlerini yeniden adlandırmak ve değiştirmek için gerekli izinleri elde etmek için (örneğin, orijinal TimeBrokerClient.dll dosyasını yeniden adlandırmak), yükleyici yüksek ayrıcalıklı sistem hesaplarını taklit eder. Gözlemlenen sıra şu şekildedir:

    • Winlogon işlemine ve belirtecine erişmek için SeDebugPrivilege'ı etkinleştirin.
    • SYSTEM olarak çalıştırmak için Winlogon token'ını benimseyin.
    • SYSTEM'den, Windows Kaynak Koruması tarafından kritik işletim sistemi dosyalarını korumak için kullanılan hesap olan TrustedInstaller güvenlik bağlamını edinin.
    • Bu TrustedInstaller bağlamını kullanan kötü amaçlı yazılım, C:\Windows\System32 dizinindeki korunan dosyaları değiştirebilir (normalde yöneticiler için bile kısıtlanmış bir eylemdir).

    Yük Nasıl Yürütülür ve Kontrolü Nasıl Sürdürülür

    Kötü amaçlı TimeBrokerClient bileşeni, svchost.ini dosyasındaki RVA'ya göre bellek ayırır, şifresi çözülmüş kabuk kodunu msvchost.dat dosyasına yerleştirir ve çalıştırır. Şifresi çözülmüş yük, HoldingHands'i açar ve ardından bir uzaktan komuta ve kontrol (C2) sunucusuyla iletişim kurar. Gözlemlenen özellikler şunlardır:

    • C2'ye ana bilgisayar bilgisi gönderiliyor.
    • Kanalın canlı kalabilmesi için her 60 saniyede bir kalp atışı mesajı gönderiliyor.
  • Uzaktan komutların alınması ve yürütülmesi (veri hırsızlığı, keyfi komut yürütme, ek yüklerin getirilmesi).
  • Operatörün C2 adresini Windows Kayıt Defteri girişi aracılığıyla güncellemesine olanak tanıyan ek bir özellik.

    • Hedefleme, Dil Odaklılık ve Muhtemel Sebep

    Son örnekler ve tuzaklar, Çince konuşan kurbanlara odaklanıldığını gösteriyor; ancak coğrafi kapsam artık Japonya ve Malezya'yı da kapsıyor. Operasyonel örüntüler (keşif, bölgesel hedefleme, gizlice takip ve modüler arka kapı işlevselliği) bölgede istihbarat toplamaya işaret ediyor ve implantlar genellikle yeni talimatlar gelene kadar kullanılmaz halde bırakılıyor.

    Özet

    Silver Fox bağlantılı operatörler, Winos 4.0 etkinliğini genişletti ve gelişmiş sosyal mühendislik (PDF'ler ve SEO'ya aykırı sayfalar) ve Görev Zamanlayıcı davranışını ve TrustedInstaller ayrıcalıklarını kötüye kullanarak tespitten kaçma ve kalıcı olma özelliğini kullanan gelişmiş bir çok aşamalı yürütme zinciri kullanarak araç setlerine HoldingHands RAT'ı ekledi. Operasyonun yetenekleri ve hedeflemesi, operatör komutlarını bekleyen uzun ömürlü, modüler implantlarla odaklanmış bir bölgesel istihbarat toplama çabasına işaret ediyor.

    trend

    American Express - Oturum Açma Girişimi Engellendi...

    Kimlik avı, İstenmeyen e-posta
    Siber suçlular, güvenilir markaların bilinirliğinden yararlanarak, şüphelenmeyen kullanıcıları hassas bilgilerini ifşa etmeye ikna ederler. "American Express - Oturum Açma Girişimi Engellendi" dolandırıcılığı, bu taktiğin en iyi örneğidir. Bu e-postalar, American Express'in güvenlik uyarılarını taklit ederek, şüpheli bir oturum açma girişiminin engellendiğini iddia eder ve alıcıyı derhal...

    En çok görüntülenen

    Yükleniyor...