HoldingHands 鼠
Winos 4.0 恶意软件家族(又名 ValleyRAT)背后的威胁行为者已将其活动范围从中国大陆和台湾扩展到日本和马来西亚。在最近的这些活动中,该组织投放了第二个远程访问木马 (RAT),该木马被识别为 HoldingHands(又名 Gh0stBins),主要使用社交工程钓鱼文档作为传播媒介。
目录
这场运动如何蔓延
攻击者通过包含嵌入恶意链接的 PDF 附件的网络钓鱼电子邮件传播恶意软件。这些 PDF 会伪装成官方通讯(在某些情况下,甚至伪装成财政部文件),并包含多个链接,但只有一个链接会引导受害者下载恶意代码。在其他事件中,攻击者会使用网页(例如,托管在类似“twsww[.]xin/download[.]html” URL 上的日语页面)作为诱饵,提示受害者获取包含 RAT 的 ZIP 压缩包。
分发方法和归属
Winos 4.0 通常通过网络钓鱼和 SEO 中毒活动进行传播,这些活动会将受害者重定向到伪装成合法软件的虚假下载页面(观察到的示例包括 Google Chrome、Telegram、有道、搜狗 AI、WPS Office 和 DeepSeek 的伪造安装程序)。安全研究人员将 Winos 的使用与一个激进的网络犯罪团伙联系起来,该团伙被称为 Silver Fox、SwimSnake、Valley Thief(山谷大盗)、UTG-Q-1000 和 Void Arachne。2025 年 9 月,研究人员报告称,该攻击者利用一个之前未记录的易受攻击的驱动程序(该驱动程序与名为 WatchDog Anti-malware 的供应商产品捆绑在一起),并使用 BYOVD(自带易受攻击驱动程序)技术禁用了端点保护。此前(2025年8月),该组织曾利用SEO投毒技术传播HiddenGh0st和Winos模块。6月份的报告显示,Silver Fox利用带有陷阱的PDF文件进行多步骤感染,最终部署了HoldingHands RAT。其历史诱饵包括2024年3月以来针对中国的税务主题Excel文件;最近的行动则转向针对马来西亚的网络钓鱼登陆页面。
多阶段感染和持久性
感染通常始于一个伪装成消费税审计或其他官方文件的可执行文件。该可执行文件会加载一个恶意 DLL,该 DLL 充当名为“sw.dat”的有效负载的 Shellcode 加载器。加载器会执行多项反分析和防御操作,包括反虚拟机检查、扫描正在运行的进程以查找已知安全产品并终止它们、提升权限以及禁用 Windows 任务计划程序,然后将控制权移交给后续阶段。
观察到被丢弃到系统中的文件:
- svchost.ini — 包含 VirtualAlloc 的 RVA。
- TimeBrokerClient.dll(合法的 TimeBrokerClient.dll 重命名为 BrokerClientCallback.dll)。
任务计划程序触发器和隐秘激活
该攻击活动并非依赖于显式进程启动,而是利用 Windows 任务计划程序的行为:任务计划程序在 svchost.exe 下作为服务运行,并默认配置为在故障后立即重启。恶意软件会修改文件,以便在任务计划程序服务重启时,svchost.exe 会加载恶意的 TimeBrokerClient.dll(已重命名为 BrokerClientCallback.dll)。该 DLL 使用存储在 svchost.ini 中的 VirtualAlloc 地址为加密的 Shellcode 分配内存,然后导致 msvchost.dat 解密 system.dat 并提取 HoldingHands 有效载荷。这种“服务重启 → DLL 加载”触发机制减少了直接执行进程的需求,并使基于行为的检测变得更加复杂。
权限提升至 TrustedInstaller
为了获得重命名和替换受保护系统组件所需的权限(例如,重命名正版 TimeBrokerClient.dll),加载程序会模拟高权限系统帐户。观察到的执行顺序如下:
- 启用 SeDebugPrivilege 来访问 Winlogon 进程及其令牌。
- 采用 Winlogon 令牌以 SYSTEM 身份运行。
- 从 SYSTEM 获取 TrustedInstaller 安全上下文 - Windows 资源保护用于保护关键操作系统文件的帐户。
- 利用 TrustedInstaller 上下文,恶意软件可以修改 C:\Windows\System32 中的受保护文件(此操作通常甚至对管理员也受到限制)。
有效载荷如何执行并保持控制
恶意 TimeBrokerClient 组件根据 svchost.ini 文件中的 RVA 分配内存,并将解密后的 msvchost.dat 中的 Shellcode 放置到该位置并运行。解密后的 Payload 会解压 HoldingHands,然后与远程命令与控制 (C2) 服务器建立通信。观察到的功能包括:
- 向 C2 发送主机信息。
- 每 60 秒发送一次心跳消息以保持通道处于活动状态。
目标、语言重点和可能的动机
最近的样本和诱饵表明,该恶意软件主要针对中文受害者,但其地理范围现已涵盖日本和马来西亚。其操作模式——侦察、区域定位、隐秘驻留和模块化后门功能——表明该恶意软件主要在该地区收集情报,植入程序经常处于休眠状态,等待进一步指示。
概括
与 Silver Fox 相关的运营者扩展了 Winos 4.0 活动,并将 HoldingHands RAT 添加到其工具集中,使用精妙的社会工程学(PDF 和 SEO 中毒页面)和复杂的多阶段执行链,滥用任务计划程序行为和 TrustedInstaller 权限来保持驻留并逃避检测。此次行动的能力和目标表明,这是一项有针对性的区域情报收集工作,其长期存在的模块化植入程序正在等待运营者指令。
