Анализ кибератаки winos 4.0 и HoldingHands RAT на Тайване
Кибератака на Тайване: анализ вредоносного ПО winos 4.0 и HoldingHands RAT
В январе 2025 года специалисты FortiGuard Labs зафиксировали масштабную кибератаку на пользователей в Тайване. В центре атаки оказалось вредоносное ПО winos 4.0, распространявшееся с помощью фишинговых писем, замаскированных под официальные сообщения Национального налогового бюро. Анализ этой кампании раскрывает сложные методы распространения, а также продвинутые техники повышения привилегий и скрытности, задействованные злоумышленниками.
Методы распространения вредоносного ПО
Фишинговые электронные письма имитировали легитимные сообщения налоговой службы, чтобы обмануть пользователей и побудить их загрузить вредоносные файлы. Главные характеристики фишинговой кампании:
- Использование вложений или ссылок, ведущих на вредоносный контент.
- В марте 2025 года была зафиксирована рассылка с ссылками на домен
twszz.xin, с изображениями, ассоциирующимися с налоговыми проверками, что повышало доверие жертв. - Фишинговые письма часто содержали законный, связанный с налогами контент, что помогало создать вводящую в заблуждение страницу загрузки.
- Для сокрытия вредоносного ПО злоумышленники использовали защищённые паролем ZIP-архивы; пароли указывались на странице загрузки, усложняя анализ для исследователей.
Особенности вредоносного ПО и техника атак
Вредоносная нагрузка включала в себя троян удаленного доступа HoldingHands RAT, также известный как Gh0stBins. Он отличается рядом сложных функций и состоит из нескольких файлов, упакованных в ZIP-архивы и запускаемых через вредоносные вложения электронной почты.
Ключевые особенности вредоносного ПО включают:
- Повышение привилегий: эксплуатировалось право SeDebugPrivilege для обхода ограничений WinLogon и выдачи себя за SYSTEM-пользователя.
- Использование законных DLL-библиотек, таких как Blend.dll, перепрофилированных для вредоносных целей.
- Механизмы проверки наличия определённых файлов на объекте атаки — в зависимости от результатов вредоносный код либо продолжал работу, либо завершал выполнение.
Инфраструктура управления и обмен данными
В процессе атаки играли важную роль компоненты типа msgDb.dat, которые обеспечивали обмен данными между заражённым устройством и командами управления (C2):
- Настройка разделов реестра и сбор информации.
- Загрузка дополнительных модулей с сервера C2.
- Обмен сигнальными сообщениями каждые три минуты для поддержания постоянного соединения и получения инструкций.
- Передача конфиденциальных данных: IP-адреса, имена пользователей, сведения об установленном ПО.
Эволюция и инновации в тактиках злоумышленников
Мониторинг в течение нескольких месяцев показал, что хакеры постоянно совершенствовали свои методы, комбинируя различные типы вредоносных программ. Помимо winos и HoldingHands RAT, использовались угрозы вроде Gh0stCringe. Тактики включали сложные цепочки шеллкода и загрузчиков, что позволяло создавать сложный и запутанный поток атак, облегчая поддержание контроля над скомпрометированными системами.
Данные исследования дают глубокое понимание современных подходов, используемых этой группировкой для атаки на пользователей Тайваня, демонстрируя постоянное обновление инструментов и тактик, направленных на эффективное проникновение и длительный контроль.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
