Хакеры используют поддельный антивирус Huorong для скрытной доставки удаленного доступа ValleyRAT

В основе атаки лежит классическая, но до сих пор эффективная техника тайпсквоттинга - регистрации доменного имени с опечаткой. Злоумышленники создали сайт "huoronga[.]com" (с лишней буквой «a»), являющийся почти точной копией легитимного ресурса разработчика "huorong.cn". Посетители, попавшие на фишинговую страницу через результаты поисковых систем или ошибочно введенный адрес, видят убедительную имитацию, не вызывающую подозрений. При нажатии на кнопку загрузки запрос перенаправляется через промежуточный домен, а финальный вредоносный архив "BR火绒445[.]zip" доставляется из облачного хранилища Cloudflare R2, что добавляет легитимности операции в глазах жертвы и систем фильтрации.

Внутри архива находится троянизированный установщик, созданный на основе легитимного фреймворка NSIS (Nullsoft Scriptable Install System). Это осознанный выбор: исполняемые файлы, собранные с помощью NSIS, вызывают меньше подозрений у пользователей и систем безопасности, а процесс установки выглядит привычно. После запуска создается ярлык на рабочем столе с именем антивируса, создавая иллюзию успешной инсталляции. Параллельно в временную директорию пользователя распаковывается набор файлов, среди которых скрываются ключевые вредоносные компоненты: основной загрузчик "WavesSvc64.exe", маскирующийся под сервис аудиодрайверов Waves, поддельная библиотека "DuiLib_u.dll" и зашифрованный файл конфигурации "box.ini".

Ключевым механизмом заражения является техника подмены DLL (DLL sideloading). Легитимный на вид загрузчик "WavesSvc64.exe" при запуске заставляет Windows автоматически загрузить вредоносную версию библиотеки "DuiLib_u.dll". Та, в свою очередь, расшифровывает и исполняет в памяти шелл-код из файла "box.ini". Такой подход, характерный для загрузчика Catena, описанного специалистами Rapid7, минимизирует следы на диске и усложняет обнаружение, поскольку основной вредоносный код никогда не сохраняется в виде отдельного исполняемого файла. Вместо этого используется рефлективная инъекция прямо в память легитимного процесса.

После получения контроля над системой бэкдор ValleyRAT, построенный на фреймворке Winos4.0, предпринимает ряд шагов для обеспечения устойчивости и скрытности. Во-первых, с помощью PowerShell он добавляет исключения для своего процесса и рабочей директории в Windows Defender, существенно снижая вероятность обнаружения встроенными средствами защиты. Во-вторых, создает задание в Планировщике задач Windows с именем "Batteries", которое обеспечивает автозапуск бэкдора при каждой загрузке системы. В-третьих, для уклонения от сигнатурного обнаружения, компоненты вредоноса периодически перезаписываются. Конфигурационные данные, включая адрес командного сервера "yandibaiji0203.[]com", сохраняются в реестре Windows.

ValleyRAT обладает широким набором функций для пост-компрометации, что делает его серьезной угрозой. Анализ в песочнице подтвердил возможность перехвата нажатий клавиш (кейлоггинга) через системные хуки, внедрения кода в другие процессы для скрытного выполнения, кражи учетных данных из реестра и файлов браузеров, а также сбора системной информации. Особую опасность представляет модуль ProcessKiller, который, судя по предыдущим кампаниям с использованием Winos4.0, способен завершать процессы продуктов безопасности, в том числе и тех, под которые маскируется, таких как антивирусы Huorong, Qihoo 360 и Tencent. Коммуникация с командным сервером по адресу "161.248.87.250" осуществляется по кастомному бинарному протоколу через TCP-порт 443, что маскирует трафик под обычный HTTPS.

Кампания полностью соответствует почерку угрозы Silver Fox (также известной как APT41 или Winnti), которая годами специализируется на распространении троянизированных версий популярного китайского ПО. Однако ситуация усугубилась после утечки в марте 2025 года в открытый доступ на GitHub билдера ValleyRAT. Это значительно снизило порог входа для других злоумышленников. Исследователи зафиксировали около 6000 связанных образцов вредоноса за год, причем 85% из них появились во второй половине периода, что указывает на распространение инструментария за пределы одной группировки.

Данный инцидент наглядно показывает, что для успешной атаки не всегда требуются уязвимости нулевого дня. Достаточно убедительной фишинговой страницы, реалистичного установщика и понимания пользовательского поведения. Когда в качестве приманки выступает продукт для обеспечения безопасности, эффективность обмана многократно возрастает. Для защиты специалистам по информационной безопасности рекомендуется в первую очередь проверять источники загрузки, обращая внимание на точное написание доменных имен. Необходимо регулярно проводить аудит исключений в Windows Defender на предмет несанкционированных команд "Add-MpPreference", а также осуществлять поиск артефактов устойчивости, таких как задание "Batteries.job", директория "%APPDATA%\trvePath\" и ключ реестра "HKCU\SOFTWARE\IpDates_info". На сетевом уровне следует блокировать исходящие соединения на IP-адрес "161.248.87[.]250" и внедрять правила для систем обнаружения вторжений (IDS), настроенные на сигнатуры Winos4.0. Также важным индикатором компрометации являются аномалии в процессах, например, запуск "rundll32.exe" без аргументов с DLL или появление файла "WavesSvc64.exe" вне легитимной установки аудиодрайверов Waves.

IPv4

• 161.248.87.250

Domains

• hndqiuebgibuiwqdhr.cyou
• huoronga.com
• huorongcn.com
• huorongh.com
• huorongpc.com
• huorongs.com
• pub-b7ce0512b9744e2db68f993e355a03f9.r2.dev
• yandibaiji0203.com

SHA256

• 07aaaa2d3f2e52849906ec0073b61e451e0025ef2523dafbd6ae85ddfa587b4d
• 47df12b0b01ddca9eb116127bf84f63eb31e80cec33e4e6042dff1447de8f45f
• 66e324ea04c4abbad6db4f638b07e2e560613e481ff588e0148e33e23a5052a9
• 72889737c11c36e3ecd77bf6023ec6f2e31aecbc441d0bdf312c5762d073b1f4
• d0ac4eb544bc848c6eed4ef4617b13f9ef259054fe9e35d9df02267d5a1c26b2
• db8cbf938da72be4d1a774836b2b5eb107c6b54defe0ae631ddc43de0bda8a7e