Winos 4.0 hackers expand to Japan and Malaysia with new malware
2025/10/18 SecurityAffairs — Winos 4.0 (ValleyRAT) を背後で操る脅威アクターが、台湾財務省の文書を装う PDF ファイルを介してマルウェアを配布しているが、その攻撃範囲が中国/台湾から日本/マレーシアへと拡大しているという。この攻撃者は、HoldingHands RAT (別名 Gh0stBins) を用いて、悪意のリンクを埋め込んだ PDF ファイルを、フィッシング・メールを通じて展開していた。
Fortinet の報告書によると、「このキャンペーンは、悪意あるリンクを埋め込んだ PDF ファイルを添付するフィッシング・メールに依存していた」とされている。それらのファイルは台湾財務省の公式文書を装い、そこに含まれるリンクには Winos 4.0 を配信するものも含まれていた。
悪意のリンクの大半は Tencent Cloud を指しており、固有のアカウント ID から配信される複数のフィッシング・ファイルは、同一の脅威アクターに帰属することが判明した。
この攻撃者はクラウド・ストレージ・リンクから “tw” を含むカスタム・ドメインへ移行しているため、台湾を標的としていた可能性がある。台湾の税制改正案を装う PDF ファイルは、ユーザーを日本語サイトへと誘導し、そこで HoldingHands ペイロードを配信していた。これらのキャンペーンは、共通の C2 IP (156.251.17[.]9) とデバッグパス BackDoor.pdb により関連付けられた。
攻撃者は検出を回避するために、EXE ファイルにデジタル署名を施している。また、Word/HTML のフィッシングにおいて、同一の悪意のスクリプトを動的ページ上にホストし、ダウンロード・リンクを JSON データ内に隠蔽して検出を困難にしている。
さらに、Tencent Cloud の APPID を分析したところ、2024年3月まで遡る中国向けの広範なフィッシング・インフラの存在が明らかになった。このインフラでは、Excel 添付ファイルを通じて Winos 4.0 も配布されていた。
Fortinet の研究者は “twczb[.]com” が同一の IP で解決される事実を突き止め、最近のマレーシア攻撃と以前の台湾キャンペーンを関連付けた。このキャンペーンは、単純なフィッシング・ページを介して多段階で HoldingHands を配信するものだ。つまり、初期の亜種のように EXE ファイルを直接ドロップして痕跡を残すのではなく、その後の段階で、Windows タスク・スケジューラを介してマルウェアを実行するため、行動ベースの検知が困難となっている。
この攻撃チェーンは Dokany として知られるシェルコード・ローダー dokan2.dll と sw.dat から始まり、VM 回避チェックと権限昇格を実行した上で、svchost.ini/TimeBrokerClient.dll/msvchost.dat/system.dat を “C:\Windows\System32” にドロップする。その後に、悪意のインストーラーが Norton/Avast/Kaspersky のプロセスを列挙して、それらが発見されるとドロップを中止/スキップし、最終的にタスク・スケジューラを終了させ、再起動時に svchost をロードして “TimeBrokerClient.dll” を読み込ませる。
この悪意の DLL は、単純な ASCII サムテストでプロセス名を確認し、次に “svchost.ini” を読み込んで VirtualAlloc のアドレスを特定する。このライブラリは “msvchost.dat” を復号化してシェルコードを取得して、メモリ内で実行するものだ。続いて、このシェルコードが “system.dat” を復号して HoldingHands ペイロードを取得し、タスク・スケジューラをホストする svchost インスタンス内での実行を確認する。
その後の攻撃チェーンでは、アクティブなユーザー・セッションが列挙され、ログオン中のユーザーのトークンがコピーされる。続いて、このトークンの悪用により、”taskhostw.exe” の起動とペイロードの注入が引き起こされる。最後に、プロセスを監視し、停止している場合はペイロードを再注入する。
HoldingHands マルウェアも同様であるが、この攻撃者はサーバの IP アドレスをレジストリに書き込んで更新する C2 タスクを追加している。そのためのコンフィグ・キーは、HKEY_CURRENT_USER\SOFTWARE\HHClient の、値 AdrrStrChar に IP アドレスを格納する。新しい IP 更新コマンドは 0x15 であり、kill/terminate コマンドは 0x17 (以前は 0x15) に変更されている。
Fortinet の報告書は、「この脅威アクターは、活動を隠蔽しながらマルウェアを配信するために、多様なフィッシング・ルアーや多層的な回避手法を用いている。ただし、それらの戦術こそが、国境を越えたキャンペーンを結びつける貴重な手がかりを提供する」と結論づけている。
さらに同社は、「FortiGuard Labs が追跡した、インフラ/コードの再利用/行動パターンなどにより、中国/台湾から日本/マレーシアへと拡大する攻撃が関連付けられ、その過程で最新の HoldingHands 亜種を特定した」と述べている。
この脅威アクターは、正規を装う PDF 内の悪意あるリンクと、Tencent Cloud や tw といったカスタム・ドメインを使ったクラウド配信、多段階のメモリ実行による痕跡隠蔽、デジタル署名付き EXE や動的スクリプトでの検出回避、タスク・スケジューラ経由の持続化とプロセス列挙によるアンチウイルス迂回を用いています。最終的には、Winos 4.0 RAT を標的に埋め込み、継続的な侵害を成功させているようです。よろしければ、Winos で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.