ValleyRAT: Новая угроза в мире кибербезопасности

Лаборатория Morphisec Threat Labs сообщила о выявлении сложной многоэтапной вредоносной программы, известной как ValleyRAT, которая имеет связи с хакерской группировкой Silver Fox APT. Новые расследования показали, что злоумышленник обновил свои тактики, используя один и тот же URL-адрес как для предыдущих, так и для текущих версий своих атак.
Методы распространения ValleyRAT
Злоумышленники из этой группы применяют различные каналы для распространения своих атак, включая:
- Фишинговые электронные письма;
- Вредоносные веб-сайты;
- Поддельные домены, имитирующие легитимные организации.
Особое внимание уделяется целевым группам, таким как сотрудники финансовых отделов и бухгалтерии.
Тактики внедрения
Злоумышленники используют несколько хитроумных методов для внедрения своих вредоносных приложений:
- Перехват порядка поиска в библиотеках DLL для внедрения полезной нагрузки в легальные исполняемые файлы;
- Использование двоичных файлов популярных программ, таких как ShellExperienceHosts.exe и приложения из WPS Office;
- Создание поддельных сайтов, включая домены, имитирующие китайскую телекоммуникационную компанию Karlos.
Кампания злоумышленников также включает в себя использование двоичных файлов из известных игр, таких как Left 4 Dead 2 и Killing Floor 2, для кражи DLL-файлов.
Цепочка заражения
Атака начинается с загрузки пользователем поддельного браузера Chrome с указанного фишингового URL. Пользователь запускает файл Setup.zip, содержащий Setup.exe. В дополнение к этому, злоумышленники могут использовать Douyin, китайскую версию TikTok, для загрузки вредоносной библиотеки DLL.
Методы обхода безопасности
Для улучшения своей тактики и избежания обнаружения, злоумышленники выбирают процессы, которые принимают ввод процедуры и остаются незанятыми, что позволяет им выполнять свой код с минимальными подозрениями.
ValleyRAT получает доступ к файлу mpclient.dat, содержащему шеллкод Donut и зашифрованный PE-файл, который расшифровывается в памяти без записи на диск. Чтобы обойти механизмы безопасности, ValleyRAT использует функции, связанные с AMSI и ETW.
Возможности ValleyRAT
Эта RAT, написанная на C++, обладает рядом функциональных возможностей, включая:
- Кейлоггинг, активируемый с помощью файла конфигурации;
- Установка ключей реестра для динамической настройки.
Кроме того, ValleyRAT проверяет среду выполнения: если он обнаруживает, что работает на виртуальной машине, он пытается подключиться к внешнему адресу www.baidu.com и инициализирует свои IP-адреса и порты для управления.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



