تقوم شركة Silver Fox بتوسيع هجمات Winos 4.0 لتشمل اليابان وماليزيا عبر شركة HoldingHands RAT
قام ممثلو التهديد الذين يقفون وراء عائلة البرامج الضارة المعروفة باسم Winos 4.0 (المعروف أيضًا باسم ValleyRAT) بتوسيع نطاق استهدافهم من الصين وتايوان لاستهداف اليابان وماليزيا باستخدام حصان طروادة آخر للوصول عن بُعد (RAT) يتم تتبعه باسم HoldingHands RAT (المعروف أيضًا باسم Gh0stBins).
وقال بي هان لياو، الباحث في FortiGuard Labs التابع لشركة Fortinet: “اعتمدت الحملة على رسائل البريد الإلكتروني التصيدية التي تحتوي على ملفات PDF تحتوي على روابط ضارة مضمنة”. قال في تقرير تمت مشاركته مع The Hacker News. “تنكرت هذه الملفات كوثائق رسمية من وزارة المالية وتضمنت العديد من الروابط بالإضافة إلى الرابط الذي قدم Winos 4.0.”
Winos 4.0 عبارة عن عائلة من البرامج الضارة التي تنتشر غالبًا عن طريق التصيد الاحتيالي وتسميم تحسين محركات البحث (SEO)، وتوجيه المستخدمين المطمئنين إلى مواقع الويب المزيفة التي تتنكر في صورة برامج شائعة مثل Google Chrome وTelegram وYoudao وSogou AI وWPS Office وDeepSeek وغيرها.
يرتبط استخدام Winos 4.0 في المقام الأول بمجموعة جرائم إلكترونية صينية “عدوانية” تُعرف باسم Silver Fox، والتي يتم تعقبها أيضًا باسم SwimSnake، وThe Great Thief of Valley (أو Valley Thief)، وUTG-Q-1000، وVoid Arachne.
في الشهر الماضي، أرجعت Check Point جهة التهديد إلى إساءة استخدام برنامج تشغيل ضعيف غير معروف سابقًا مرتبط بـ WatchDog Anti-malware كجزء من هجوم Bring Your Own Vulnerable Driver (BYOVD) الذي يهدف إلى تعطيل برامج الأمان المثبتة على الأجهزة المضيفة المخترقة.
وبعد أسابيع، سلطت Fortinet الضوء على حملة أخرى حدثت في أغسطس 2025، حيث تم الاستفادة من تسميم تحسين محركات البحث (SEO) لتوزيع HiddenGh0st والوحدات المرتبطة ببرامج Winos الضارة.
تم أيضًا توثيق استهداف Silver Fox لتايوان واليابان باستخدام HoldingHands RAT من قبل شركة الأمن السيبراني وباحث أمني يُدعى somedieyoungZZ في يونيو، حيث استخدم المهاجمون رسائل بريد إلكتروني تصيدية تحتوي على مستندات PDF مفخخة لتنشيط عدوى متعددة المراحل تؤدي في النهاية إلى نشر حصان طروادة.
تجدر الإشارة في هذه المرحلة إلى أن كلاً من Winos 4.0 وHoldingHands RAT مستوحى من برنامج ضار آخر لـ RAT يشار إليه باسم Gh0st RAT، والذي تم تسريب كود مصدره في عام 2008 ومنذ ذلك الحين تم اعتماده على نطاق واسع من قبل مجموعات القرصنة الصينية المختلفة.
قالت شركة Fortinet إنها حددت مستندات PDF تمثل مسودة تنظيم ضريبي لتايوان والتي تضمنت عنوان URL لصفحة ويب باللغة اليابانية (“twsww”[.]شين/تحميل[.]html”)، حيث يُطلب من الضحايا تنزيل أرشيف ZIP مسؤول عن تسليم HoldingHands RAT.
كشف المزيد من التحقيقات عن هجمات تستهدف الصين استخدمت مستندات Microsoft Excel المتعلقة بالضرائب كإغراءات، يعود تاريخ بعضها إلى مارس 2024، لتوزيع Winos. ومع ذلك، حولت حملات التصيد الاحتيالي الأخيرة تركيزها إلى ماليزيا، وذلك باستخدام صفحات مقصودة مزيفة لخداع المستلمين وحملهم على تنزيل HoldingHands RAT.
نقطة البداية هي ملف قابل للتنفيذ يدعي أنه وثيقة تدقيق الضرائب. يتم استخدامه للتحميل الجانبي لملف DLL ضار، والذي يعمل كمحمل كود القشرة لـ “sw.dat”، وهي حمولة مصممة لتشغيل عمليات فحص مكافحة الأجهزة الافتراضية (VM)، وتعداد العمليات النشطة مقابل قائمة منتجات الأمان من Avast وNorton وKaspersky، وإنهائها إذا تم العثور عليها، وتصعيد الامتيازات، وإنهاء برنامج جدولة المهام.
كما يقوم أيضًا بإسقاط العديد من الملفات الأخرى في المجلد C:\Windows\System32 الخاص بالنظام –
- ملف svchost.ini، الذي يحتوي على العنوان الظاهري النسبي (RVA) لـ VirtualAlloc وظيفة
- TimeBrokerClient.dll، تمت إعادة تسمية TimeBrokerClient.dll الشرعي ليصبح BrokerClientCallback.dll.
- msvchost.dat، الذي يحتوي على كود القشرة المشفر
- system.dat، الذي يحتوي على الحمولة المشفرة
- wkscli.dll، ملف DLL غير مستخدم
وقال Fortinet: “إن برنامج جدولة المهام عبارة عن خدمة Windows يستضيفها ملف svchost.exe والتي تتيح للمستخدمين التحكم عند تشغيل عمليات أو عمليات معينة”. “تم تكوين إعداد الاسترداد الخاص ببرنامج جدولة المهام لإعادة تشغيل الخدمة بعد دقيقة واحدة من فشلها بشكل افتراضي.”
“عند إعادة تشغيل برنامج جدولة المهام، يتم تنفيذ ملف svchost.exe ويقوم بتحميل TimeBrokerClient.dll الضار. ولا تتطلب آلية التشغيل هذه التشغيل المباشر لأي عملية، مما يجعل الكشف القائم على السلوك أكثر صعوبة.”
الوظيفة الأساسية لـ “TimeBrokerClient.dll” هي تخصيص الذاكرة لكود القشرة المشفر داخل “msvchost.dat” عن طريق استدعاء وظيفة VirtualAlloc() باستخدام قيمة RVA المحددة في “svchost.ini.” في المرحلة التالية، يقوم “msvchost.dat” بفك تشفير الحمولة المخزنة في “system.dat” لاسترداد حمولة HoldingHands.
تم تجهيز HoldingHands للاتصال بخادم بعيد، وإرسال معلومات المضيف إليه، وإرسال إشارة نبضات كل 60 ثانية للحفاظ على الاتصال، وتلقي ومعالجة الأوامر التي يصدرها المهاجم على النظام المصاب. تسمح هذه الأوامر للبرامج الضارة بالتقاط معلومات حساسة، وتشغيل أوامر عشوائية، وتنزيل حمولات إضافية.
إضافة ميزة جديدة هي أمر جديد يجعل من الممكن تحديث عنوان الأمر والتحكم (C2) المستخدم للاتصالات عبر إدخال سجل Windows.
عملية إغراء الحرير تستهدف الصين باستخدام ValleyRAT
ويأتي هذا التطوير في الوقت الذي قامت فيه Seqrite Labs بتفصيل حملة تصيد احتيالي مستمرة قائمة على البريد الإلكتروني استفادت من البنية التحتية لـ C2 المستضافة في الولايات المتحدة، واستهدفت الشركات الصينية في قطاعات التكنولوجيا المالية والعملات المشفرة ومنصات التداول لتقديم Winos 4.0 في نهاية المطاف. وقد أُطلق على الحملة الاسم الرمزي “عملية إغراء الحرير”، وذلك بسبب تأثيرها المرتبط بالصين.
“يقوم الخصوم بصياغة رسائل بريد إلكتروني شديدة الاستهداف تنتحل صفة الباحثين عن عمل ويرسلونها إلى أقسام الموارد البشرية وفرق التوظيف الفنية داخل الشركات الصينية،” هذا ما قاله الباحثون ديكسيت بانشال، وسومين بورما، وكارتيك جيفاني. قال.
“تحتوي رسائل البريد الإلكتروني هذه غالبًا على ملفات .LNK (اختصار Windows) ضارة مضمنة في سيرة ذاتية أو مستندات محفظة تبدو مشروعة. عند تنفيذها، تعمل ملفات .LNK هذه بمثابة أدوات إسقاط، مما يؤدي إلى بدء تنفيذ الحمولات التي تسهل التسوية الأولية.”
يقوم ملف LNK، عند إطلاقه، بتشغيل كود PowerShell لتنزيل سيرة ذاتية PDF وهمية، بينما يقوم بإسقاط ثلاث حمولات إضافية خلسة إلى الموقع “C:\Users\
الحمولات التي تم إسقاطها هي كما يلي –
- CreateHiddenTask.vbs، الذي يقوم بإنشاء مهمة مجدولة لتشغيل “keytool.exe” كل يوم في الساعة 8:00 صباحًا
- keytool.exe، الذي يستخدم التحميل الجانبي لـ DLL لتحميل jli.dll
- jli.dll، وهو ملف DLL ضار يقوم بتشغيل البرامج الضارة Winos 4.0 المشفرة والمضمنة داخل keytool.exe
وقال الباحثون: “إن البرامج الضارة المنتشرة تثبت الثبات داخل النظام المخترق وتبدأ عمليات استطلاع مختلفة”. “ويشمل ذلك التقاط لقطات الشاشة، وجمع محتويات الحافظة، وتصفية البيانات الوصفية المهمة للنظام.”
يأتي حصان طروادة أيضًا مزودًا بتقنيات مختلفة لتجنب الكشف، بما في ذلك محاولة إلغاء تثبيت منتجات مكافحة الفيروسات المكتشفة وإنهاء اتصالات الشبكة المرتبطة ببرامج الأمان مثل Kingsoft Antivirus أو Huorong أو 360 Total Security للتدخل في وظائفها العادية.
وأضاف الباحثون: “إن هذه المعلومات المسربة تزيد بشكل كبير من خطر التجسس الإلكتروني المتقدم وسرقة الهوية وتسوية بيانات الاعتماد، مما يشكل تهديدًا خطيرًا لكل من البنية التحتية التنظيمية والخصوصية الفردية”.
