Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Công cụ quản lý từ xa HoldingHands RAT

HoldingHands RAT

Đến năm Mezo năm Công cụ quản lý từ xa, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Nhóm tin tặc đứng sau nhóm phần mềm độc hại Winos 4.0 (còn được gọi là ValleyRAT) đã mở rộng hoạt động ra ngoài Trung Quốc và Đài Loan để nhắm vào Nhật Bản và Malaysia. Trong các chiến dịch gần đây, nhóm này đã phát tán trojan truy cập từ xa (RAT) thứ hai được xác định là HoldingHands (hay còn gọi là Gh0stBins), sử dụng các tài liệu lừa đảo kỹ thuật xã hội làm phương thức tấn công chính.

Chiến dịch lan truyền như thế nào

Kẻ tấn công phát tán phần mềm độc hại thông qua email lừa đảo có đính kèm tệp PDF chứa liên kết độc hại. Các tệp PDF này giả mạo thông tin liên lạc chính thức — trong một số trường hợp, giả mạo tài liệu của Bộ Tài chính — và chứa nhiều liên kết, trong đó chỉ có một liên kết dẫn đến tệp tải xuống độc hại. Trong các trường hợp khác, mồi nhử là một trang web (ví dụ: trang tiếng Nhật được lưu trữ tại URL như 'twsww[.]xin/download[.]html') yêu cầu nạn nhân tải xuống tệp ZIP chứa RAT.

Phương pháp phân phối và ghi nhận

Winos 4.0 thường được phát tán thông qua các chiến dịch lừa đảo và đầu độc SEO, chuyển hướng nạn nhân đến các trang tải xuống giả mạo dưới dạng phần mềm hợp pháp (ví dụ quan sát được bao gồm trình cài đặt giả mạo cho Google Chrome, Telegram, Youdao, Sogou AI, WPS Office và DeepSeek). Các nhà nghiên cứu bảo mật liên kết việc sử dụng Winos với một nhóm tội phạm mạng hung hãn được biết đến với nhiều tên gọi khác nhau như Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 và Void Arachne. Vào tháng 9 năm 2025, các nhà nghiên cứu đã báo cáo rằng tác nhân này đã lạm dụng trình điều khiển dễ bị tấn công trước đây chưa được ghi nhận được đóng gói với một sản phẩm của nhà cung cấp có tên là WatchDog Anti-malware trong kỹ thuật BYOVD (Mang theo trình điều khiển dễ bị tấn công của riêng bạn) để vô hiệu hóa bảo vệ điểm cuối. Trước đó (tháng 8 năm 2025), nhóm đã sử dụng đầu độc SEO để phát tán các mô-đun HiddenGh0st và Winos, và báo cáo tháng 6 đã ghi nhận Silver Fox sử dụng các tệp PDF có bẫy để dàn dựng các đợt lây nhiễm nhiều bước cuối cùng triển khai HoldingHands RAT. Các chiêu trò lừa đảo truyền thống bao gồm các tệp Excel có chủ đề về thuế được sử dụng chống lại Trung Quốc từ tháng 3 năm 2024; những nỗ lực gần đây chuyển sang các trang đích lừa đảo nhắm vào Malaysia.

Nhiễm trùng nhiều giai đoạn và dai dẳng

Quá trình lây nhiễm thường bắt đầu bằng một tệp thực thi giả dạng kiểm toán thuế tiêu thụ đặc biệt hoặc tài liệu chính thức khác. Tệp thực thi đó sẽ tải một tệp DLL độc hại, hoạt động như một trình tải shellcode cho một payload có tên 'sw.dat'. Trình tải này thực hiện một số hành động chống phân tích và phòng thủ — kiểm tra chống máy ảo (VM), quét các quy trình đang chạy để tìm các sản phẩm bảo mật đã biết và chấm dứt chúng, leo thang đặc quyền và vô hiệu hóa Windows Task Scheduler — trước khi chuyển giao quyền kiểm soát cho các giai đoạn tiếp theo.

Các tập tin được quan sát đã được thả vào hệ thống:

  • svchost.ini — chứa RVA cho VirtualAlloc.
  • TimeBrokerClient.dll (TimeBrokerClient.dll hợp lệ được đổi tên thành BrokerClientCallback.dll).
  • msvchost.dat — shellcode được mã hóa.
  • system.dat — tải trọng được mã hóa.
  • wkscli.dll — DLL chưa sử dụng/giữ chỗ.

Trình lập lịch tác vụ kích hoạt và kích hoạt ẩn

Thay vì dựa vào việc khởi chạy quy trình rõ ràng, chiến dịch này tận dụng hành vi của Windows Task Scheduler: Task Scheduler chạy như một dịch vụ dưới svchost.exe và theo mặc định được cấu hình để khởi động lại ngay sau khi lỗi xảy ra. Phần mềm độc hại thay đổi các tệp để khi dịch vụ Task Scheduler khởi động lại, svchost.exe sẽ tải tệp TimeBrokerClient.dll độc hại (đã đổi tên thành BrokerClientCallback.dll). Tệp DLL đó phân bổ bộ nhớ cho shellcode được mã hóa bằng địa chỉ VirtualAlloc được lưu trữ trong svchost.ini, sau đó khiến msvchost.dat giải mã system.dat và trích xuất payload HoldingHands. Kích hoạt 'khởi động lại dịch vụ → tải DLL' này làm giảm nhu cầu thực thi quy trình trực tiếp và làm phức tạp việc phát hiện dựa trên hành vi.

Nâng cấp đặc quyền lên TrustedInstaller

Để có được các quyền cần thiết để đổi tên và thay thế các thành phần hệ thống được bảo vệ (ví dụ: đổi tên TimeBrokerClient.dll chính hãng), trình tải sẽ mạo danh các tài khoản hệ thống có đặc quyền cao. Trình tự được quan sát là:

  • Bật SeDebugPrivilege để truy cập vào tiến trình Winlogon và mã thông báo của tiến trình đó.
  • Áp dụng mã thông báo Winlogon để chạy dưới dạng HỆ THỐNG.
  • Từ HỆ THỐNG, lấy ngữ cảnh bảo mật TrustedInstaller — tài khoản được Windows Resource Protection sử dụng để bảo vệ các tệp hệ điều hành quan trọng.
  • Sử dụng ngữ cảnh TrustedInstaller đó, phần mềm độc hại có thể sửa đổi các tệp được bảo vệ trong C:\Windows\System32 (một hành động thường bị hạn chế ngay cả đối với quản trị viên).

Cách thức Payload thực hiện và duy trì quyền kiểm soát

Thành phần TimeBrokerClient độc hại phân bổ bộ nhớ theo RVA trong svchost.ini, đặt shellcode đã giải mã từ msvchost.dat vào đó và chạy nó. Tải trọng đã giải mã sẽ giải nén HoldingHands, sau đó thiết lập liên lạc với máy chủ chỉ huy và điều khiển (C2) từ xa. Các khả năng được quan sát bao gồm:

  • Gửi thông tin máy chủ đến C2.
  • Gửi tin nhắn nhịp tim mỗi 60 giây để duy trì kênh hoạt động.
  • Nhận và thực hiện các lệnh từ xa (trộm dữ liệu, thực hiện lệnh tùy ý, lấy thêm dữ liệu).
  • Một tính năng bổ sung cho phép người vận hành cập nhật địa chỉ C2 thông qua mục nhập Windows Registry.

Nhắm mục tiêu, tập trung ngôn ngữ và động cơ có thể xảy ra

Các mẫu và mồi nhử gần đây cho thấy mục tiêu tập trung vào các nạn nhân nói tiếng Trung, mặc dù phạm vi địa lý hiện bao gồm Nhật Bản và Malaysia. Các mô hình hoạt động — trinh sát, nhắm mục tiêu khu vực, hoạt động bí mật và chức năng cửa hậu mô-đun — cho thấy hoạt động thu thập thông tin tình báo trong khu vực, với các thiết bị cấy ghép thường bị bỏ không chờ chỉ thị tiếp theo.

Bản tóm tắt

Các nhà điều hành liên kết với Silver Fox đã mở rộng hoạt động của Winos 4.0 và bổ sung HoldingHands RAT vào bộ công cụ của họ, sử dụng các kỹ thuật tấn công mạng xã hội tinh vi (PDF và các trang bị nhiễm độc SEO) cùng một chuỗi thực thi đa giai đoạn tinh vi, lợi dụng hành vi của Task Scheduler và đặc quyền TrustedInstaller để duy trì và tránh bị phát hiện. Khả năng và mục tiêu của chiến dịch cho thấy một nỗ lực thu thập thông tin tình báo khu vực tập trung với các thiết bị cấy ghép dạng mô-đun tồn tại lâu dài, chờ lệnh từ người điều hành.

xu hướng

American Express - Lừa đảo đăng nhập bị chặn

Lừa đảo, Thư rác
Tội phạm mạng thường lợi dụng sự quen thuộc của các thương hiệu uy tín để dụ dỗ người dùng nhẹ dạ tiết lộ thông tin nhạy cảm. Vụ lừa đảo "American Express - Nỗ lực Đăng nhập Bị Chặn" là một ví dụ điển hình cho chiến thuật này. Những email này giả mạo cảnh báo bảo mật từ American Express, thông báo rằng một nỗ lực đăng nhập đáng ngờ đã bị chặn và thúc giục người nhận hành động ngay lập tức. Điều...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
33,536
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...