Лаборатория Zscaler ThreatLabz обнаружила недавнюю многоступенчатую кампанию с использованием последней версии ValleyRAT, разработанной злоумышленником из Китая.
ValleyRAT
ValleyRAT - это троян удаленного доступа (RAT), впервые задокументированный в начале 2023 года. Он предназначен для проникновения в системы, предоставляя злоумышленникам несанкционированный контроль. Обычно распространяется через фишинговые письма или вредоносные загрузки. Последняя версия включает новые команды для захвата скриншотов, фильтрации процессов, принудительного отключения и очистки журналов событий Windows.
Кампания начинается с начальной стадии загрузки, использующей HTTP File Server (HFS) для получения необходимых файлов. Загрузчик использует различные техники обхода, такие как антивирусные проверки, боковая загрузка DLL и внедрение процессов.
Особый маркер определяет конфигурацию для связи с командно-контрольным (C2) сервером, указывая IP-адрес, порт и протокол связи C2. Заметные обновления в ValleyRAT включают в себя усовершенствованную систему отпечатков пальцев устройств и изменения в генерации идентификаторов ботов.
На первом этапе загрузчик извлекает и расшифровывает DLL, инициируя процесс проверки и загрузки файлов, если это необходимо. Антивирусные меры направлены на определенные процессы, такие как Qihoo security software и Winrar. Затем вредоносная программа загружает дополнительные файлы и готовится к следующему этапу.
На втором этапе легитимное приложение (WINWORD2013.EXE) загружает вредоносную библиотеку DLL (wwlib.dll), которая расшифровывается и внедряет шелл-код в svchost.exe, обеспечивая его устойчивость за счет изменения ключей автозапуска и скрытия файлов.
На третьем этапе внедренный шелл-код разрешает API и устанавливает C2-соединение для загрузки дальнейших этапов вредоносного ПО. Наконец, на четвертом этапе динамически загружается встроенная DLL, анализируются конфигурационные данные и проверяется наличие финальной полезной нагрузки, которая в итоге загружается и исполняется.
Злоумышленники продолжают совершенствовать ValleyRAT, чтобы избежать обнаружения: в последней версии добавлен расширенный сбор данных для отпечатков устройств и изменен процесс генерации идентификатора бота, что подчеркивает его изощренность в обходе мер безопасности и сохранении контроля над зараженными системами.
Indicators of Compromise
URLs
- http://kfurl.cn/kvukj
- http://mtw.so/5Fytvq
- http://mtw.so/6oAUvN
- http://wenjian2024.com/57683653%E5%87%BD%E6%95%B0.exe
- https://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE961424.exe
- https://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE965624%20.exe
- https://2024aasaf.oss-cn-hongkong.aliyuncs.com/TARE967124.exe
- https://2024fapiao.oss-cn-hongkong.aliyuncs.com/82407836%E5%87%BD%E6%95%B0.exe
- https://fpwenj.zhangyaodong5.com/TARE985624.exe
- https://scpgjhs.com/TARE965624.exe
- https://tzsxr.com/customer.exe
MD5
- 00296149b1ec62f8280ba0b3d08152ee
- 019a5c4e67492e412f08758a06b3b354
- 02c1f92036278dfeabdc89d1a17da28f
- 043b4cbe238bcf0b242dc2874e275bbc
- 0a55af506297efa468f49938a66d8af9
- 0b63f0b83f78dff04ae26fe6b1da3b29
- 0d222e3084f9359a555acc3205c789fb
- 2c6a865a746ca9f37f9381aa64c2c1eb
- 442f4ea7a33d805fb8944eb267b1dfad
- 4df3bf214daaaafee88c455a384a4421
- 56384012e4e46f16b883efe4dd53fcb0
- 58f7311956c41e99f630286baa49d0ac
- 81ab4d6b9a07e354b52a18690f98b8aa
- 85f1c63c40918eb300420152eaf78e2c
- 8995fbb4679ddd1516eacb3e453cb1ba
- 8c0cde825ee2d3c8b60cd2c21d174d4c
- 92ae1aff368611d62afe51d43c91bf0b
- 984878f582231a15cc907aa92903b7ab
- 9aec2351a3966a9f854513a7b7aa5a13
- abf0e40513a9d614266359e56ca54f90
- b79c69bb5d309b07e10a316ee9c2223e
- c2ad2a683ff1898dd692e7d856c13d44
- cc31928547ea412b9c7655ce958574bd
- ddb3c71de77a18421f6e86bc9fec6697
- e9c4b65d39f73033d6ec3ee79bd39083
- eb953e5f2a3eb68756f779b3fa4d5c4e
