16 января

ValleyRAT_S2: модульный кибершпионский троян с продвинутыми методами уклонения

ValleyRAT_S2 — сложный троян удаленного доступа (RAT) из семейства ValleyRAT, предназначенный как для кибершпионажа, так и для финансово мотивированных кампаний. По данным предоставленного отчёта, вредоносное ПО ориентировано в первую очередь на регионы с китайскоязычным населением и демонстрирует широкий набор возможностей по разведке, закреплению и уклонению от обнаружения.

Краткое содержание

Разработан на C++ с модульной архитектурой.
Используется как в целях кибершпионажа, так и для финансово мотивированных атак.
Механизмы закрепления: Windows Task Scheduler через COM API и самовосстановление через скрипт Visual Basic.
Методы уклонения: установка пользовательской обработки структурированных исключений (SEH), маскировка под файлы Counter-Strike: Global Offensive (CS:GO) и манипуляции с steam_api64.dll (обход UAC), применение DLL side-loading.
Распространение: целевое фишинговое вложение и компрометация цепочек поставок через механизмы обновления локального ПО.
Коммуникации: разрешение DNS через вызовы getaddrinfo для установления связи с C2 по конкретному IP и порту; эксфильтрация данных по пользовательскому протоколу TCP.
Дополнительно: динамические имена файлов во временном каталоге и запуск «доброкачественно выглядящих» процессов (например, Telegra.exe, WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta).exe) для запутывания аналитиков.

Технический разбор

ValleyRAT_S2 реализован как модульное приложение на C++, что облегчает добавление новых функций и модулей. Вредоносное ПО проводит тщательный сбор информации о заражённой среде, что указывает на использование гибкой платформы для последующей целенаправленной активности.

Для закрепления в системе злоумышленники применяют несколько независимых механизмов: создание задач в Windows Task Scheduler через COM API, а также механизм самовосстановления — запуск скрипта на Visual Basic, который перезапускает основной компонент при завершении его работы. Такое перекрестное закрепление повышает устойчивость к удалению простыми способами.

Тактики уклонения

Установка пользовательской обработки исключений (SEH) — снижает вероятность падений в sandbox/эмуляторе и осложняет статический и динамический анализ.
Маскировка под игровые файлы CS:GO и манипуляция с steam_api64.dll — приемы, направленные на снижение подозрительности у пользователя и обход контроля учетных записей (UAC).
DLL side-loading — загрузка вредоносных библиотек в контексте легитимного процесса для скрытной работы.
Генерация динамических имён файлов во временном каталоге — усложняет обнаружение по статичным сигнатурам.
Запуск процессов с «доброкачественными» именами (Telegra.exe, WhatsApp.exe) для введения в заблуждение пользователей и аналитиков.

Методы распространения и цели

ValleyRAT_S2 использует несколько векторов проникновения, типичных для продвинутых угроз:

Сpearphishing — доставка вредоносных вложений в документы, которые могут маскировать исполняемые файлы;
Компрометация цепочек поставок — использование механизмов обновления популярного локального ПО для доставки вредоносного кода через легитимные процессы.

Коммуникации и эксфильтрация

Связь с командно‑контрольной инфраструктурой устанавливается через разрешение DNS с использованием вызовов getaddrinfo, после чего соединение строится на основании конкретного IP-адреса и порта. Для передачи собранных данных злоумышленники применяют собственный протокол поверх TCP, что затрудняет детектирование по стандартным протоколам.

Цитата из отчёта

«ValleyRAT_S2 — это сложный троян удаленного доступа (RAT), относящийся к семейству вредоносного ПО ValleyRAT, предназначенный в первую очередь для регионов, где говорят на китайском языке.» — слова из исходного анализа.

Последствия и рекомендации

Набор возможностей ValleyRAT_S2 делает его серьёзной угрозой для организаций, особенно в целевых регионах. Ниже — базовые рекомендации для снижения риска компрометации:

Контролировать и аудировать задачи в Windows Task Scheduler, особенно созданные программами без цифровой подписи или с подозрительными триггерами.
Отслеживать необычные DNS-запросы и соединения на нестандартные IP и порты; уделять внимание вызовам, связанным с разрешением адресов (getaddrinfo).
Мониторить запуски процессов с именами, не характерными для окружения, и соответствие путей запуска их ожидаемым локациям.
Проверять целостность и происхождение библиотек, используемых игровыми и другими приложениями (например, steam_api64.dll), чтобы исключить DLL side-loading.
Ограничивать права выполнения скриптов и блокировать незнакомые VBS-скрипты, используемые для самовосстановления вредоносных компонентов.
Проводить обучение персонала по распознаванию целевого фишинга и проверять обновления критичных локальных приложений на предмет подлинности.

ValleyRAT_S2 сочетает техническую хитрость и многоканальную доставку, что требует от команд по кибербезопасности междисциплинарного подхода: мониторинга сети, анализа поведения конечных точек и контроля цепочек поставок ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: