تبنّت مجموعة تهديدات مُرتبطة ببرمجية خبيثة تُعرف باسم Winos 4.0 (المعروفة أيضًا ValleyRAT) نمطًا هجومياً موسعًا خارج نطاق الصين وتايوان، ليشمل أهدافًا في اليابان وماليزيا بواسطة تروجان وصول عن بُعد جديد عُرف باسم HoldingHands RAT (المعروف أيضًا Gh0stBins). تستند الحملة إلى أساليب تصيّد متطورة وتسميم نتائج البحث وخداع صفحات تنزيل مزيفة لتمكين العدوى متعددة المراحل.
الجهة الفاعلة وأساليب الاستهداف
التحقيقات تربط استخدام Winos 4.0 بمجموعة وصفها الباحثون بأنها «عدوانية» وتُعرف بأسماء متعددة بينها Silver Fox وSwimSnake وValley Thief. الحملة الحديثة استخدمت رسائل تصيّد تحتوي على ملفات PDF مفخخة بروابط خبيثة تتنكر أحيانًا كمستندات رسمية للدوائر المالية، أو صفحات تنزيل تدّعي توفير برامج شائعة. كما وُثّق استغلال تقنيات تسميم محركات البحث (SEO poisoning) لتوجيه الضحايا إلى مواقع خبثية تنشر نسخًا مزيفة من برامج مشهورة، ما زاد نسبة الإصابة بالبرمجيات الخبيثة.
آليات العدوى والتنفيذ الفني
تتبع الحملة نموذج عدوى متعدد المراحل: رسالةٍ تصيّد تحتوي PDF يحيل إلى صفحة تحميل، الضحية يُغرَم بتحميل أرشيف ZIP يحوي ملفًا تنفيذيًا يدّعي كونه وثيقة تدقيق، ثم تُستخدم تقنية تحميل DLL جانبية (DLL sideloading) لتشغيل شيفرة تحميل شِلّية (shellcode) مخزنة ضمن ملفات مشفَّرة مثل “msvchost.dat” و”system.dat”. التمهيد يعتمد على إعادة تسمية مكتبة نظام شرعية (TimeBrokerClient.dll) إلى اسمٍ آخر ثم تحميلها عبر خدمة Task Scheduler، الأمر الذي يجعل آلية التشغيل خفية ويصعّب كشفها سلوكيًا. كما يتخذ الشيفرة إجراءات لمعاينة بيئات الظاهرية (anti-VM)، ويبحث عن عمليات منتجات حماية محددة من شركات مثل Avast وNorton وKaspersky لإيقافها.
لتصعيد الامتيازات، يقوم الملف الوسيط “sw.dat” بمحاولات اقتباس سياقات أمان عالية المستوى عبر تمكين امتياز SeDebugPrivilege للوصول إلى عملية Winlogon ثم تبنّي توكنها للحصول على صلاحيات SYSTEM، ومن ثم السعي للحصول على سياق TrustedInstaller اللازم لتعديل ملفات حماية النظام. وبعد مرحلة فك التشفير، يستدعى تحميل حمولة HoldingHands التي تتصل بخوادم القيادة والتحكم، تبعث بيانات المضيف وتُرسل قلباً نبضيًا (heartbeat) كل 60 ثانية لتثبيت قناة التحكم، وتنفّذ أوامرٍ تجمع بيانات حساسة أو تنفّذ أوامر عشوائية أو تُحمّل برمجيات إضافية. كما أُضيفت ميزة تحديث عنوان C2 عبر مدخل في سجلّ ويندوز.
دلائل إضافية وتباينات الحملة
تحرّى باحثو Fortinet وفرق أخرى عن عينات تستخدم طُعومًا متعلقة بالضرائب واللوائح المحلية، كما وُثّقت سلاسل هجوم في الصين استُخدمت فيها مستندات Excel مخدعة منذ مارس 2024. حملة مسمّاة Operation Silk Lure استهدفت شركات صينية في قطاعات التكنولوجيا المالية والعملات المشفّرة باستخدام رسائل احتيال تُقلّد طلبات توظيف وتحتوي ملفات LNK تعمل كقاطرات تقوم بتشغيل PowerShell لتنزيل حمولات متعددة واستقرارها في مجلد مستخدم ضار. الحمولات المنزلة تخلق مهامًا مجدولة وتستخدم تقنيات DLL sideloading لتحميل Winos 4.0 المشفّر، إضافةً إلى محاولات لتعطيل منتجات مضادّات الفيروسات المحلية مثل Kingsoft وHuorong و360 Total Security.
المخاطر والرسائل العملية للمؤسسات
الترابط بين Winos 4.0 وHoldingHands RAT وطفرة استعمال الوكلاء غير البشريين يبرز نقطةً أساسية: هويات البرامج والعمليات الآلية اصبحت واجهات استهدافٍ أساسية. المعلومات المسروقة تشمل لقطات شاشة ومحتوى الحافظة وبيانات نظامية حساسة، ما يرفع مخاطر التجسّس السيبراني وسرقة الهوية وخرق بيانات البنى التحتية. التوصية واضحة للمؤسسات: تشديد سياسات الكشف عن الطرود البريدية، فرض التحقق من مصادر المستندات، مراقبة سلوكية لخدمات Task Scheduler وعمليات svchost المرتبطة بمكتبات غير متوقعة، تطبيق حظر تحميل DLL غير مصرح به، وتفعيل ضوابط صارمة لإدارة الامتيازات والتثبت من سلامة ملفات النظام وعمليات TrustedInstaller.
