HoldingHands 鼠
Winos 4.0 惡意軟體家族(又稱 ValleyRAT)背後的威脅行為者已將其活動範圍從中國大陸和台灣擴展到日本和馬來西亞。在最近的這些活動中,該組織投放了第二個遠端存取木馬 (RAT),該木馬被識別為 HoldingHands(又名 Gh0stBins),主要使用社交工程釣魚文件作為傳播媒介。
目錄
這場運動如何蔓延
攻擊者透過包含嵌入惡意連結的 PDF 附件的網路釣魚電子郵件傳播惡意軟體。這些 PDF 會偽裝成官方通訊(在某些情況下,甚至偽裝成財政部文件),並包含多個鏈接,但只有一個鏈接會引導受害者下載惡意代碼。在其他事件中,攻擊者會使用網頁(例如,託管在類似「twsww[.]xin/download[.]html」 URL 上的日文頁面)作為誘餌,提示受害者取得包含 RAT 的 ZIP 壓縮包。
分發方法和歸屬
Winos 4.0 通常透過網路釣魚和 SEO 中毒活動進行傳播,這些活動會將受害者重新導向到偽裝成合法軟體的虛假下載頁面(觀察到的範例包括 Google Chrome、Telegram、有道、搜狗 AI、WPS Office 和 DeepSeek 的偽造安裝程式)。安全研究人員將 Winos 的使用與一個激進的網路犯罪團夥聯繫起來,該團夥被稱為 Silver Fox、SwimSnake、Valley Thief(山谷大盜)、UTG-Q-1000 和 Void Arachne。 2025 年 9 月,研究人員報告稱,該攻擊者利用一個先前未記錄的易受攻擊的驅動程式(該驅動程式與名為 WatchDog Anti-malware 的供應商產品捆綁在一起),並使用 BYOVD(自帶易受攻擊驅動程式)技術禁用了端點保護。在此之前(2025年8月),該組織曾利用SEO投毒技術傳播HiddenGh0st和Winos模組。 6月份的報告顯示,Silver Fox利用帶有陷阱的PDF檔案進行多步驟感染,最終部署了HoldingHands RAT。其歷史誘餌包括2024年3月以來針對中國的稅務主題Excel文件;最近的行動則轉向針對馬來西亞的網路釣魚登陸頁面。
多階段感染和持久性
感染通常始於一個偽裝成消費稅審計或其他官方文件的可執行文件。該可執行檔會載入一個惡意 DLL,該 DLL 充當名為「sw.dat」的有效負載的 Shellcode 載入器。載入器會執行多項反分析和防禦操作,包括反虛擬機器檢查、掃描正在運行的進程以查找已知安全產品並終止它們、提升權限以及停用 Windows 任務規劃程序,然後將控制權移交給後續階段。
觀察到被丟棄到系統中的檔案:
- svchost.ini — 包含 VirtualAlloc 的 RVA。
- TimeBrokerClient.dll(合法的 TimeBrokerClient.dll 重新命名為 BrokerClientCallback.dll)。
任務計劃程序觸發器和隱密激活
此攻擊活動並非依賴明確進程啟動,而是利用 Windows 任務計劃程式的行為:任務計劃程式在 svchost.exe 下作為服務運行,並預設配置為在故障後立即重新啟動。惡意軟體會修改文件,以便在任務排程器服務重新啟動時,svchost.exe 會載入惡意的 TimeBrokerClient.dll(已重新命名為 BrokerClientCallback.dll)。該 DLL 使用儲存在 svchost.ini 中的 VirtualAlloc 位址為加密的 Shellcode 分配內存,然後導致 msvchost.dat 解密 system.dat 並提取 HoldingHands 有效載荷。這種「服務重新啟動 → DLL 載入」觸發機制減少了直接執行進程的需求,並使基於行為的偵測變得更加複雜。
權限提升至 TrustedInstaller
為了獲得重新命名和取代受保護系統元件所需的權限(例如,重新命名正版 TimeBrokerClient.dll),載入程式會模擬高權限系統帳戶。觀察到的執行順序如下:
- 啟用 SeDebugPrivilege 來存取 Winlogon 進程及其令牌。
- 採用 Winlogon 令牌以 SYSTEM 身分執行。
- 從 SYSTEM 取得 TrustedInstaller 安全性上下文 - Windows 資源保護用於保護關鍵作業系統檔案的帳戶。
- 利用 TrustedInstaller 上下文,惡意軟體可以修改 C:\Windows\System32 中的受保護檔案(此操作通常甚至對管理員也受到限制)。
有效載荷如何執行並保持控制
惡意 TimeBrokerClient 元件根據 svchost.ini 檔案中的 RVA 分配內存,並將解密後的 msvchost.dat 中的 Shellcode 放置到該位置並運行。解密後的 Payload 會解壓縮 HoldingHands,然後與遠端命令與控制 (C2) 伺服器建立通訊。觀察到的功能包括:
- 向 C2 發送主機資訊。
- 每 60 秒發送心跳訊息以保持通道處於活動狀態。
目標、語言重點與可能的動機
最近的樣本和誘餌表明,該惡意軟體主要針對中文受害者,但其地理範圍現已涵蓋日本和馬來西亞。其操作模式——偵察、區域定位、隱密駐留和模組化後門功能——表明該惡意軟體主要在該地區收集情報,植入程式經常處於休眠狀態,等待進一步指示。
概括
與 Silver Fox 相關的運營商擴展了 Winos 4.0 活動,並將 HoldingHands RAT 添加到其工具集中,使用精妙的社會工程學(PDF 和 SEO 中毒頁面)和複雜的多階段執行鏈,濫用任務計劃程序行為和 TrustedInstaller 權限來保持駐留並逃避檢測。此次行動的能力和目標表明,這是一項有針對性的區域情報收集工作,其長期存在的模組化植入程序正在等待運營者指令。
