近期，Fortinet FortiGuard Labs（Fortinet 全球威脅研究與響應實驗室）針對新型控制木馬“HoldingHands”在亞洲地區的持續網絡攻擊活動展開了全面追蹤與深度技術分析，揭示了該惡意軟件傳播方式的演變及其對中國用戶構成的嚴重威脅。

該攻擊活動呈現出高度的持續性、隱蔽性和跨區域聯動特征，攻擊者通過釣魚郵件、多層惡意軟件鏈及基礎設施共享等手段，不斷升級攻擊手法。Fortinet中國區技術總監張略對該攻擊活動研究進行了深度解析，并解讀關聯分析方法論如何有效揭示持續攻擊鏈，全面分享Fortinet的防護策略和方案。

威脅縱覽：持續性攻擊活動全景關聯分析

根據FortiGuard Labs的追蹤，HoldingHands持續攻擊活動主要針對微軟Windows平臺用戶。攻擊的影響表現為信息竊取，這些被竊取的數據可能用于后續攻擊，嚴重等級為高危。張略分析認為，攻擊活動的演變反映了黑客組織在逃避檢測方面的精益求精，最初看似孤立的攻擊事件實則是更廣泛攻擊活動的組成部分。

識別攻擊活動的關聯性對于威脅狩獵至關重要。傳統安全分析往往將單個攻擊事件視為獨立事件，但通過系統化的關聯分析方法論應用，安全團隊能夠揭示攻擊者背后的統一行動。這種方法不僅提升威脅情報的準確性，還可以幫助企業預測未來攻擊向量。尤其針對中國地區的威脅，攻擊者常利用跨平臺混淆技術，方法論中的關聯分析可有效穿透表象，暴露攻擊鏈的共性。

攻擊揭秘：網絡釣魚與惡意載荷傳遞機制

HoldingHands持續攻擊活動中，攻擊者主要利用釣魚郵件作為初始入侵向量，郵件中附帶的PDF文件偽裝成官方文檔，以增強欺騙性。這種社交工程手段尤其針對中國用戶，攻擊者通過模仿政府文件或采購訂單等內容，誘騙受害者點擊惡意鏈接。

在關聯分析方法論中，基礎設施共享是識別攻擊活動的首要線索。攻擊者頻繁使用合法云服務隱藏惡意行為，通過URL中的唯一ID鏈接多個攻擊事件。這種ID具有賬戶級唯一性，任何包含相同ID的鏈接均歸屬同一攻擊者，從而將分散的釣魚事件串聯成整體活動。

通過這種方法論應用，FortiGuard Labs關聯到更多相關PDF文件，包括用于分發HoldingHands惡意軟件的文件。新發現的釣魚誘餌不僅模仿政府文件，還涉及仿冒其他政府部門的公文或采購訂單等偽造內容，這體現了攻擊者對目標區域文化的深入了解。

歷史追溯：早期攻擊活動的深度關聯分析

此次攻擊活動并非近期突發，而是有長期歷史蹤跡可循。通過深度關聯分析，FortiGuard Labs發現最早的攻擊記錄可追溯至2024年3月，這體現了攻擊組織的持久性和戰略延續性。早期攻擊主要利用惡意Excel文檔作為攻擊媒介，針對中國用戶發動網絡釣魚活動。

通過對HTML附件中的APPID進行關聯分析，安全團隊成功鏈接到更多公有云存儲連接。這種基于APPID的關聯方法不僅揭示了攻擊基礎設施的共享特性，還將看似分散的事件串聯成完整的攻擊鏈條。例如，通過分析特定APPID，團隊發現了一系列針對中國用戶的釣魚攻擊，這些攻擊在時間上跨越了2024年至2025年，顯示出攻擊者的長期運營能力。

值得注意的是，在與中國地區攻擊時間相近的文檔樣本中，檢測到了Winos4.0惡意軟件的痕跡。這種時間跨度的關聯性表明攻擊組織采用了漸進式攻擊策略，從早期的簡單攻擊逐步演變為復雜的多層惡意軟件鏈，這種演變過程進一步印證了攻擊活動的演化和關聯性。

代碼模式：惡意軟件鏈的持續攻擊關聯性

從技術角度深入分析，代碼模式是關聯攻擊的關鍵要素之一，涉及惡意軟件家族的核心邏輯和反檢測技術。攻擊鏈中的dokan2.dll作為shellcode加載器，其偽造機制與歷史攻擊存在相似性；而sw.dat模塊的反虛擬機檢測和權限提升代碼，在不同變體中保持一致特征。

進一步分析代碼中的獨特模式，如TimeBrokerClient.dll的進程驗證邏輯（計算svchost.exe的ASCII和須為0x47A）以及文件命名規則。這些模式不僅是攻擊者的“指紋”，還體現了其反分析策略的延續性。通過解析svchost.ini配置文件中的RVA引用機制，這種配置方式在多個攻擊樣本中重復出現，強化了攻擊活動的關聯性。

在惡意軟件鏈的演進過程中，要特別關注msvchost.dat模塊的創新之處。該模塊通過驗證特定的命令行參數確保執行環境，并與任務計劃程序聯動，這種操作戰術在多個攻擊活動中高度一致。當任務計劃程序重新啟動時，系統會執行svchost.exe進程，并自動加載TimeBrokerClient.dll文件，這種觸發機制有效規避了基于行為的安全檢測。

演進軌跡：操作戰術演變與規避技術分析

在操作戰術層面，攻擊者的行為模式呈現出明顯的演變特征。針對中國用戶的攻擊中，釣魚郵件持續模仿政府公文，并通過多層鏈接增強欺騙性。這種戰術不僅提高了成功率，還反映了攻擊者對本地化特征的精準把握。

戰術的關聯性還體現在規避技術的升級上。以msvchost.dat模塊為例，其通過會話枚舉和令牌偽裝技術恢復用戶級訪問權限的創新性。該模塊首先調用WTSEnumerateSessions函數枚舉所有終端會話，隨后定位已登錄用戶的活躍會話，復制該用戶的訪問令牌實現安全上下文偽裝。這種技術手段在多個攻擊樣本中重復出現，成為關聯分析的重要依據。

值得注意的是，HoldingHands惡意載荷新增了通過注冊表項更新C2服務器IP地址的功能（任務指令為0x15），使攻擊者無需重新部署惡意軟件即可切換基礎設施。分析認為，這種靈活性體現了攻擊者對持久性的追求，也凸顯了持續監控注冊表變更的重要性。

防御體系構建：Fortinet全景防護方案

基于關聯分析方法論的應用，張略特別強調了中國地區面臨的獨特威脅。通過基礎設施、代碼和戰術的關聯分析，安全團隊發現針對中國的攻擊往往與更廣泛的活動聯動，這種分析有助于企業提前預警，而非被動響應。

同時，基于此次攻擊活動的技術特征，Fortinet的多層防護策略已有效攔截相關威脅。FortiGuard Antivirus服務成功檢測并攔截了惡意軟件，如XML/Agent.EFA9!tr、W64/ShellcodeRunner.ARG!tr和W64/Agent.BDN!tr。部署FortiGate、FortiMail、FortiClient或FortiEDR的產品用戶，在更新至最新版本后可免受此類威脅影響。

針對此次攻擊活動，Fortinet提供了一系列多層次的防御建議。

• 加強電子郵件安全：FortiMail已成功識別釣魚郵件，其集成的FortiSandbox提供實時反釣魚功能，可防范已知和未知攻擊。
• 部署FortiGuard CDR（內容解除和重構）服務：該服務可解除文檔中嵌入的惡意宏，從源頭阻斷攻擊鏈，有效防止釣魚郵件中的惡意載荷執行。
• 充分利用FortiGuard IP信譽和反僵尸網絡安全服務：該服務匯聚全球傳感器網絡情報，主動攔截惡意源IP，特別是針對中國境內常見的攻擊基礎設施。
• 加強員工安全意識培訓：積極參與NSE免費模塊培訓（FCF Fortinet Certified Fundamentals），提升對社交工程攻擊的識別能力，降低釣魚郵件點擊率。
• 事件響應準備：若企業懷疑已受影響，應聯系FortiGuard全球事件響應團隊獲得支持。

通過對攻擊活動的深度技術分析，Fortinet認為關聯分析方法論在當代威脅防護中至關重要。攻擊者雖然不斷演變戰術，但通過系統化的關聯分析，安全團隊能夠揭示其行為模式，實現更有效的防護。

同時，針對中國地區的威脅防護需要結合全球威脅情報和本地化分析。Fortinet的解決方案通過實時分析基礎設施信譽和代碼行為，提供了多層次的防護能力。當然，只有通過技術、人員和流程的有機結合，提升企業整體安全防護水平，才能有效應對日益復雜的網絡威脅環境。