ValleyRAT: Новая угроза в мире кибербезопасности

ValleyRAT: Новая угроза в мире кибербезопасности

Лаборатория Morphisec Threat Labs сообщила о выявлении сложной многоэтапной вредоносной программы, известной как ValleyRAT, которая имеет связи с хакерской группировкой Silver Fox APT. Новые расследования показали, что злоумышленник обновил свои тактики, используя один и тот же URL-адрес как для предыдущих, так и для текущих версий своих атак.

Методы распространения ValleyRAT

Злоумышленники из этой группы применяют различные каналы для распространения своих атак, включая:

  • Фишинговые электронные письма;
  • Вредоносные веб-сайты;
  • Поддельные домены, имитирующие легитимные организации.

Особое внимание уделяется целевым группам, таким как сотрудники финансовых отделов и бухгалтерии.

Тактики внедрения

Злоумышленники используют несколько хитроумных методов для внедрения своих вредоносных приложений:

  • Перехват порядка поиска в библиотеках DLL для внедрения полезной нагрузки в легальные исполняемые файлы;
  • Использование двоичных файлов популярных программ, таких как ShellExperienceHosts.exe и приложения из WPS Office;
  • Создание поддельных сайтов, включая домены, имитирующие китайскую телекоммуникационную компанию Karlos.

Кампания злоумышленников также включает в себя использование двоичных файлов из известных игр, таких как Left 4 Dead 2 и Killing Floor 2, для кражи DLL-файлов.

Цепочка заражения

Атака начинается с загрузки пользователем поддельного браузера Chrome с указанного фишингового URL. Пользователь запускает файл Setup.zip, содержащий Setup.exe. В дополнение к этому, злоумышленники могут использовать Douyin, китайскую версию TikTok, для загрузки вредоносной библиотеки DLL.

Методы обхода безопасности

Для улучшения своей тактики и избежания обнаружения, злоумышленники выбирают процессы, которые принимают ввод процедуры и остаются незанятыми, что позволяет им выполнять свой код с минимальными подозрениями.

ValleyRAT получает доступ к файлу mpclient.dat, содержащему шеллкод Donut и зашифрованный PE-файл, который расшифровывается в памяти без записи на диск. Чтобы обойти механизмы безопасности, ValleyRAT использует функции, связанные с AMSI и ETW.

Возможности ValleyRAT

Эта RAT, написанная на C++, обладает рядом функциональных возможностей, включая:

  • Кейлоггинг, активируемый с помощью файла конфигурации;
  • Установка ключей реестра для динамической настройки.

Кроме того, ValleyRAT проверяет среду выполнения: если он обнаруживает, что работает на виртуальной машине, он пытается подключиться к внешнему адресу www.baidu.com и инициализирует свои IP-адреса и порты для управления.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: