Silver Fox mở rộng cuộc tấn công Winos 4.0 sang Nhật Bản và Malaysia thông qua HoldingHands RAT

Những kẻ đe dọa đứng sau họ phần mềm độc hại có tên Winos 4.0 (hay còn gọi là ValleyRAT) đã mở rộng phạm vi nhắm mục tiêu từ Trung Quốc và Đài Loan sang Nhật Bản và Malaysia với một trojan truy cập từ xa (RAT) khác được theo dõi là HoldingHands RAT (hay còn gọi là Gh0stBins).

"Chiến dịch này dựa trên các email lừa đảo có chứa tệp PDF chứa các liên kết độc hại được nhúng", Pei Han Liao, nhà nghiên cứu tại FortiGuard Labs của Fortinet, cho biết trong một báo cáo được chia sẻ với The Hacker News. "Những tệp này được ngụy trang thành tài liệu chính thức của Bộ Tài chính và bao gồm nhiều liên kết ngoài tệp đã phân phối Winos 4.0."

Winos 4.0 là một họ phần mềm độc hại thường lây lan thông qua lừa đảo và đầu độc tối ưu hóa công cụ tìm kiếm (SEO), hướng người dùng không nghi ngờ đến các trang web giả mạo dưới dạng phần mềm phổ biến như Google Chrome, Telegram, Youdao, Sogou AI, WPS Office và DeepSeek, cùng nhiều phần mềm khác.

Việc sử dụng Winos 4.0 chủ yếu liên quan đến một nhóm tội phạm mạng "hung hăng" của Trung Quốc có tên là Silver Fox, cũng được theo dõi với tên gọi SwimSnake, The Great Thief of Valley (hay Valley Thief), UTG-Q-1000 và Void Arachne.

Tháng trước, Check Point đã xác định tác nhân đe dọa này đã lợi dụng một trình điều khiển dễ bị tấn công chưa từng được biết đến trước đây có liên quan đến WatchDog Anti-malware như một phần của cuộc tấn công Bring Your Own Vulnerable Driver (BYOVD) nhằm vô hiệu hóa phần mềm bảo mật được cài đặt trên các máy chủ bị xâm phạm.

Vài tuần sau, Fortinet đã làm sáng tỏ một chiến dịch khác diễn ra vào tháng 8 năm 2025, lợi dụng việc đầu độc SEO để phân phối HiddenGh0st và các mô-đun liên quan đến phần mềm độc hại Winos.

Công ty an ninh mạng và một nhà nghiên cứu bảo mật có tên somedieyoungZZ cũng đã ghi nhận việc Silver Fox nhắm mục tiêu vào Đài Loan và Nhật Bản bằng HoldingHands RAT vào tháng 6, trong đó những kẻ tấn công sử dụng email lừa đảo có chứa tài liệu PDF có cài bẫy để kích hoạt quá trình lây nhiễm nhiều giai đoạn, cuối cùng là triển khai trojan.

Điều đáng chú ý ở giai đoạn này là cả Winos 4.0 và HoldingHands RAT đều lấy cảm hứng từ một phần mềm độc hại RAT khác có tên là Gh0st RAT , mã nguồn của phần mềm này bị rò rỉ vào năm 2008 và kể từ đó đã được nhiều nhóm tin tặc Trung Quốc áp dụng rộng rãi.

Fortinet cho biết họ đã xác định được các tài liệu PDF giả dạng là bản dự thảo quy định thuế dành cho Đài Loan, trong đó có URL đến một trang web tiếng Nhật ("twsww[.]xin/download[.]html"), từ đó nạn nhân được nhắc tải xuống kho lưu trữ ZIP chịu trách nhiệm phân phối HoldingHands RAT.

Cuộc điều tra sâu hơn đã phát hiện ra các cuộc tấn công nhắm vào Trung Quốc, sử dụng các tài liệu Microsoft Excel có chủ đề về thuế làm mồi nhử, một số có từ tháng 3 năm 2024, để phân phối Winos. Tuy nhiên, các chiến dịch lừa đảo gần đây đã chuyển trọng tâm sang Malaysia, sử dụng các trang đích giả mạo để lừa người nhận tải xuống HoldingHands RAT.

Điểm khởi đầu là một tệp thực thi tự xưng là tài liệu kiểm toán thuế tiêu thụ đặc biệt. Nó được sử dụng để tải một tệp DLL độc hại, hoạt động như một trình tải shellcode cho "sw.dat", một payload được thiết kế để chạy kiểm tra chống máy ảo (VM), liệt kê các quy trình đang hoạt động dựa trên danh sách các sản phẩm bảo mật từ Avast, Norton và Kaspersky, và chấm dứt chúng nếu tìm thấy, leo thang đặc quyền và chấm dứt Trình lập lịch tác vụ.

Nó cũng thả một số tập tin khác vào thư mục C:\Windows\System32 của hệ thống -

• svchost.ini, chứa Địa chỉ ảo tương đối (RVA) của hàm VirtualAlloc

• TimeBrokerClient.dll, TimeBrokerClient.dll hợp lệ được đổi tên thành BrokerClientCallback.dll.

• msvchost.dat, chứa shellcode được mã hóa

• system.dat, chứa dữ liệu được mã hóa

• wkscli.dll, một DLL chưa sử dụng

"Trình Lập Lịch Tác Vụ là một dịch vụ Windows được lưu trữ bởi svchost.exe, cho phép người dùng kiểm soát thời điểm chạy các tác vụ hoặc quy trình cụ thể", Fortinet cho biết. "Cài đặt khôi phục của Trình Lập Lịch Tác Vụ được cấu hình để khởi động lại dịch vụ một phút sau khi lỗi mặc định."

"Khi Task Scheduler được khởi động lại, svchost.exe sẽ được thực thi và tải TimeBrokerClient.dll độc hại. Cơ chế kích hoạt này không yêu cầu khởi chạy trực tiếp bất kỳ quy trình nào, khiến việc phát hiện dựa trên hành vi trở nên khó khăn hơn."

Chức năng chính của "TimeBrokerClient.dll" là phân bổ bộ nhớ cho shellcode được mã hóa trong "msvchost.dat" bằng cách gọi hàm VirtualAlloc() sử dụng giá trị RVA được chỉ định trong "svchost.ini". Ở giai đoạn tiếp theo, "msvchost.dat" giải mã dữ liệu được lưu trữ trong "system.dat" để truy xuất dữ liệu HoldingHands.

HoldingHands được trang bị để kết nối với máy chủ từ xa, gửi thông tin máy chủ đến đó, gửi tín hiệu nhịp tim mỗi 60 giây để duy trì kết nối, đồng thời nhận và xử lý các lệnh do kẻ tấn công đưa ra trên hệ thống bị nhiễm. Các lệnh này cho phép phần mềm độc hại thu thập thông tin nhạy cảm, chạy các lệnh tùy ý và tải xuống các tải trọng bổ sung.

Một tính năng mới được bổ sung là lệnh mới cho phép cập nhật địa chỉ chỉ huy và điều khiển (C2) được sử dụng để liên lạc thông qua mục nhập Windows Registry.

Chiến dịch Silk Lure nhắm vào Trung Quốc với ValleyRAT#

Sự việc diễn ra trong bối cảnh Seqrite Labs đã công bố chi tiết về một chiến dịch lừa đảo qua email đang diễn ra, lợi dụng cơ sở hạ tầng C2 được lưu trữ tại Hoa Kỳ, nhắm mục tiêu vào các công ty Trung Quốc trong lĩnh vực công nghệ tài chính, tiền điện tử và nền tảng giao dịch để cuối cùng triển khai Winos 4.0. Chiến dịch này được đặt tên mã là Chiến dịch Mồi nhử Tơ lụa (Operation Silk Lure), do có dấu vết liên quan đến Trung Quốc.

Các nhà nghiên cứu Dixit Panchal, Soumen Burma và Kartik Jivani cho biết : "Kẻ thù tạo ra các email có mục tiêu cao mạo danh người tìm việc và gửi đến phòng nhân sự và nhóm tuyển dụng kỹ thuật trong các công ty Trung Quốc" .

"Những email này thường chứa các tệp .LNK (lối tắt Windows) độc hại được nhúng trong các hồ sơ xin việc hoặc tài liệu hồ sơ có vẻ hợp lệ. Khi được thực thi, các tệp .LNK này hoạt động như những trình thả mã độc, khởi tạo các tải trọng tạo điều kiện cho việc xâm nhập ban đầu."

Khi được khởi chạy, tệp LNK sẽ chạy mã PowerShell để tải xuống một bản lý lịch PDF giả mạo, đồng thời lén lút thả thêm ba payload vào thư mục "C:\Users\<user>\AppData\Roaming\Security" và thực thi nó. Các bản lý lịch PDF này được bản địa hóa và điều chỉnh cho các mục tiêu ở Trung Quốc nhằm tăng khả năng thành công của cuộc tấn công kỹ thuật xã hội.

Các tải trọng được thả như sau:

• CreateHiddenTask.vbs, tạo ra một tác vụ theo lịch trình để khởi chạy "keytool.exe" vào lúc 8:00 sáng hàng ngày

• keytool.exe, sử dụng tải phụ DLL để tải jli.dll

• jli.dll, một DLL độc hại khởi chạy phần mềm độc hại Winos 4.0 được mã hóa và nhúng trong keytool.exe

"Phần mềm độc hại được triển khai sẽ thiết lập sự tồn tại dai dẳng trong hệ thống bị xâm nhập và khởi động nhiều hoạt động do thám khác nhau", các nhà nghiên cứu cho biết. "Các hoạt động này bao gồm chụp ảnh màn hình, thu thập nội dung clipboard và đánh cắp siêu dữ liệu quan trọng của hệ thống."

Trojan này cũng sử dụng nhiều kỹ thuật khác nhau để tránh bị phát hiện, bao gồm cả việc cố gắng gỡ cài đặt các sản phẩm diệt vi-rút đã phát hiện và chấm dứt kết nối mạng liên quan đến các chương trình bảo mật như Kingsoft Antivirus, Huorong hoặc 360 Total Security để can thiệp vào các chức năng thông thường của chúng.

Các nhà nghiên cứu cho biết thêm: "Thông tin bị rò rỉ này làm tăng đáng kể nguy cơ gián điệp mạng, đánh cắp danh tính và xâm phạm thông tin đăng nhập, do đó gây ra mối đe dọa nghiêm trọng cho cả cơ sở hạ tầng của tổ chức và quyền riêng tư của cá nhân".

Theo : TheHackerNews