СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 декабря
#ИБ

ValleyRAT: фишинговая кампания с DLL side-loading через поддельный Foxit PDF

Киберпреступники проводят целенаправленную кампанию ValleyRAT, ориентированную на людей, ищущих работу. Вектор атаки — фишинговые письма с вложениями, маскируемыми под легитимные документы, которые запускают усовершенствованную версию Foxit PDF Reader и используют механизм DLL side-loading для первоначального компрометации.

Суть атаки

Атака реализуется через вредоносный архив, замаскированный под законный документ. При взаимодействии пользователя с таким вложением выполняется копия FoxitPDFReader.exe, специально подготовленная для загрузки вредоносной библиотеки msimg32.dll. В результате этой цепочки разворачивается ValleyRAT — Remote Access Trojan (RAT), предоставляющий злоумышленникам широкий контроль над скомпрометированными системами.

Кампания использует скрытные техники, в том числе выполнение скриптов и загрузку через .NET reflection, что повышает вероятность обхода средств обнаружения и успешного закрепления в системе.

Пошаговая цепочка компрометации

  • Фишинг-письмо: адресовано соискателю и содержит вредоносное вложение, замаскированное под резюме или сопроводительный документ.
  • Взаимодействие с вложением: пользователь открывает архив/файл, запускается т.н. модифицированная копия FoxitPDFReader.exe.
  • DLL side-loading: запускаемая копия загружает вредоносную библиотеку msimg32.dll, что позволяет исполнить неавторизованный код в контексте легитимного процесса.
  • Развертывание ValleyRAT: после загрузки DLL происходит установка ValleyRAT — трояна удаленного доступа, обеспечивающего наблюдение за пользователями и похищение конфиденциальной информации.

Кого затрагивает кампания

  • Соискатели работы — основная целевая группа.
  • Специалисты HR: рекрутеры и команды по подбору персонала подвергаются повышенному риску, поскольку получают и пересылают вакансии и резюме.
  • Организации в целом: компрометация отдельных сотрудников может привести к утечке данных и дальнейшему распространению внутри сети.

Технические индикаторы (IOCs) и ключевые признаки

  • Файлы и процессы: FoxitPDFReader.exe (модифицированная копия).
  • Загружаемые библиотеки: msimg32.dll (вредоносная).
  • Малварь: ValleyRAT (RAT).
  • Техники уклонения: выполнение скриптов, использование .NET reflection, DLL side-loading.
  • Поведенческие признаки: неожиданные сетевые соединения от процесса FoxitPDFReader, запись/чтение необычных файлов, попытки эксфильтрации данных.

Рекомендации по защите

  • Обучение персонала: повысить осведомлённость соискателей и HR-специалистов о рисках фишинга и правилах проверки вложений.
  • Политики обработки вложений: блокировать архивы и исполняемые файлы в почтовых клиентах, применять сканирование вложений на почтовом шлюзе.
  • Принцип наименьших привилегий: ограничить права пользователей, запретить выполнение приложений из временных каталогов и из профилей пользователей.
  • Application control / allowlisting: разрешать исполнение только авторизованных приложений.
  • Защита от DLL side-loading: внедрить контроль целостности исполняемых файлов, использовать безопасные практики поиска DLL (например, использование явных путей к системным библиотекам), включить механизмы предотвращения загрузки неподписанных библиотек.
  • EDR и сетевой мониторинг: отслеживать поведение процессов, подозрительные сетевые подключения и аномалии в активности.
  • Резервное копирование и план реагирования: подготовить процедуры инцидент-менеджмента и регулярные резервные копии критичных данных.

Роль средств защиты и обнаружения

Для оперативного обнаружения и блокирования угроз критично использовать современные решения безопасности. По данным отчёта, решения вроде Trend Micro способны эффективно обнаруживать и блокировать эти IOCs, обеспечивая дополнительный уровень защиты пользователей и организаций. При этом важно комбинировать сигнатурные методы с поведенческим анализом и EDR, чтобы снижать риск обхода защиты через техники типа .NET reflection и DLL side-loading.

«Понимание конкретных методов и методологий, используемых в кампании ValleyRAT, помогает вырабатывать упреждающие стратегии защиты»

Заключение

Кампания ValleyRAT демонстрирует, как простая социальная инженерия — предложение о работе или резюме — в сочетании с техническими приёмами (DLL side-loading, .NET reflection) может привести к серьёзной компрометации. Приоритетными мерами остаются обучение сотрудников, жёсткая политика обработки вложений, внедрение EDR/EDR-подобных решений и использование современных корпоративных средств защиты для обнаружения и блокировки индикаторов компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: