HoldingHands RAT
Зловмисники, що стоять за сімейством шкідливих програм Winos 4.0 (також відстежуваним як ValleyRAT), розширили свою діяльність за межі Китаю та Тайваню, націлившись на Японію та Малайзію. У цих нещодавніх кампаніях група розповсюдила другий троян віддаленого доступу (RAT), ідентифікований як HoldingHands (він же Gh0stBins), використовуючи соціально спроектовані фішингові документи як основний вектор.
Зміст
Як поширюється кампанія
Зловмисники розповсюджують шкідливе програмне забезпечення через фішингові електронні листи, що містять PDF-файли з вбудованими шкідливими посиланнями. PDF-файли імітують офіційні повідомлення — у деяких випадках видаючи себе за документи Міністерства фінансів — і містять кілька посилань, лише одне з яких веде до шкідливого завантаження. В інших випадках приманкою є веб-сторінка (наприклад, сторінка японською мовою, розміщена за URL-адресою типу «twsww[.]xin/download[.]html»), яка пропонує жертвам завантажити ZIP-архів, що містить RAT.
Методи розповсюдження та атрибуція
Winos 4.0 зазвичай поширюється за допомогою фішингових та SEO-кампаній, які перенаправляють жертв на фальшиві сторінки завантаження, що видаються за легітимне програмне забезпечення (серед прикладів, що спостерігаються, є підроблені інсталятори для Google Chrome, Telegram, Youdao, Sogou AI, WPS Office та DeepSeek). Дослідники безпеки пов'язують використання Winos з агресивним кіберзлочинним кластером, відомим під різними назвами, як Silver Fox, SwimSnake, Valley Thief (Великий злодій долини), UTG-Q-1000 та Void Arachne. У вересні 2025 року дослідники повідомили, що цей злочинець зловживав раніше недокументованим вразливим драйвером, що постачається з продуктом постачальника під назвою WatchDog Anti-malware, за допомогою техніки BYOVD (Bring Your Own Vulnerable Driver), щоб вимкнути захист кінцевих точок. Раніше (серпень 2025 року) група використовувала SEO-отруєння для поширення модулів HiddenGh0st та Winos, а червневі звіти задокументували використання Silver Fox замічених PDF-файлів для ініціювання багатоетапних заражень, які зрештою призвели до розгортання HoldingHands RAT. Серед історичних приманок – файли Excel на тему оподаткування, що використовувалися проти Китаю ще з березня 2024 року; нещодавні зусилля зосередилися на фішингових цільових сторінках, орієнтованих на Малайзію.
Багатостадійне зараження та персистенція
Зараження зазвичай починається з виконуваного файлу, маскованого під акт аудиту акцизного збору або інший офіційний документ. Цей виконуваний файл завантажує шкідливу DLL-бібліотеку, яка діє як завантажувач шелл-коду для корисного навантаження з назвою «sw.dat». Завантажувач виконує кілька антианалізних та захисних дій — перевірки віртуальних машин, сканування запущених процесів на наявність відомих продуктів безпеки та їх завершення, підвищення привілеїв та вимкнення планувальника завдань Windows — перш ніж передати керування наступним етапам.
Файли, що були виявлені та перенесені в систему:
- svchost.ini — містить RVA для VirtualAlloc.
- TimeBrokerClient.dll (легітимний файл TimeBrokerClient.dll, перейменований на BrokerClientCallback.dll).
- msvchost.dat — зашифрований шеллкод.
- system.dat — зашифроване корисне навантаження.
- wkscli.dll — невикористана/заповнювач DLL.
Тригер планувальника завдань та прихована активація
Замість того, щоб покладатися на явний запуск процесу, кампанія використовує поведінку Планувальника завдань Windows: Планувальник завдань працює як служба під керуванням svchost.exe та за замовчуванням налаштований на перезапуск невдовзі після збою. Шкідливе програмне забезпечення змінює файли таким чином, що під час перезапуску служби Планувальника завдань svchost.exe завантажує шкідливу бібліотеку TimeBrokerClient.dll (перейменовану на BrokerClientCallback.dll). Ця бібліотека DLL виділяє пам'ять для зашифрованого шелл-коду, використовуючи адресу VirtualAlloc, що зберігається у svchost.ini, а потім змушує msvchost.dat розшифрувати system.dat та витягти корисне навантаження HoldingHands. Цей тригер «перезапуск служби → завантаження DLL» зменшує потребу в безпосередньому виконанні процесу та ускладнює виявлення на основі поведінки.
Ескалація привілеїв до TrustedInstaller
Щоб отримати дозволи, необхідні для перейменування та заміни захищених системних компонентів (наприклад, перейменування справжнього файлу TimeBrokerClient.dll), завантажувач видає себе за системні облікові записи з високими привілеями. Спостерігається така послідовність:
- Увімкніть SeDebugPrivilege для доступу до процесу Winlogon та його токена.
- Використайте токен Winlogon для запуску від імені SYSTEM.
- З SYSTEM отримайте контекст безпеки TrustedInstaller — обліковий запис, який використовується службою захисту ресурсів Windows для захисту критично важливих файлів ОС.
- Використовуючи цей контекст TrustedInstaller, шкідливе програмне забезпечення може змінювати захищені файли в C:\Windows\System32 (дія, яка зазвичай обмежена навіть для адміністраторів).
Як корисне навантаження виконує та підтримує контроль
Шкідливий компонент TimeBrokerClient виділяє пам'ять для кожного RVA у svchost.ini, розміщує туди розшифрований шелл-код з msvchost.dat та запускає його. Розшифроване корисне навантаження розпаковує HoldingHands, який потім встановлює зв'язок з віддаленим сервером командування та управління (C2). Спостережувані можливості включають:
- Надсилання інформації про хост до C2.
- Надсилання повідомлень heartbeat кожні 60 секунд для підтримки активності каналу.
- Отримання та виконання віддалених команд (крадіжка даних, виконання довільних команд, отримання додаткових корисних навантажень).
- Додаткова функція, що дозволяє оператору оновлювати адресу C2 через запис реєстру Windows.
Таргетинг, мовна спрямованість та ймовірний мотив
Нещодавні зразки та приманки вказують на зосередження на китайськомовних жертвах, хоча географічний охоплення тепер включає Японію та Малайзію. Оперативні схеми — розвідка, регіональне таргетування, прихована наполегливість та модульна функціональність бекдору — вказують на збір розвідувальних даних у регіоні, при цьому імплантати часто залишаються неактивними в очікуванні подальших інструкцій.
Короткий зміст
Оператори, пов'язані з Silver Fox, розширили свою діяльність у сфері Winos 4.0 та додали HoldingHands RAT до свого інструментарію, використовуючи відшліфовані методи соціальної інженерії (PDF-файли та сторінки, що містять SEO-отруєння), а також складний багатоетапний ланцюжок виконання, який зловживає поведінкою планувальника завдань та привілеями TrustedInstaller для збереження та уникнення виявлення. Можливості та цілеспрямованість операції свідчать про цілеспрямовані регіональні зусилля зі збору розвідувальних даних за допомогою довговічних модульних імплантатів, що очікують команд оператора.
