ValleyRAT: целевой троянец с географическим «предохранителем» и агрессивным обходом защиты

Атаки начинаются с доставки многослойной полезной нагрузки через фишинговые письма или поддельные установщики. Процесс инфицирования следует четкой цепочке: загрузчик (downloader) → загрузчик второго уровня (loader) → инжектор (injector) → основной троянец (RAT). Для сохранения скрытности ValleyRAT широко использует технику Living-off-the-Land (LotL), выполняя свой код в памяти легитимных системных процессов, в частности MSBuild.exe. Это значительно усложняет его обнаружение традиционными средствами защиты.

Одной из самых характерных черт ValleyRAT является так называемый «географический предохранитель» или «предохранитель» (kill-switch). Перед активацией троянец проверяет системный реестр Windows на наличие записей, связанных с популярными в Китае коммуникационными приложениями - WeChat и DingTalk. Если эти ключи в реестре не обнаружены, вредоносная программа выводит на экран сообщение об ошибке и прекращает работу. Этот механизм предотвращает запуск троянца в непредназначенных для атаки средах, например, в лабораториях анализа вредоносного ПО за пределами целевого региона.

После успешного прохождения первоначальной проверки ValleyRAT переходит к агрессивной эскалации привилегий. Он использует несколько методов обхода контроля учетных записей (User Account Control, UAC), включая манипуляции с реестром и файлами для таких системных компонентов, как CompMgmtLauncher.exe, Event Viewer и Fodhelper.exe. Эти техники позволяют троянцу запустить себя с правами администратора. Дополнительно ValleyRAT манипулирует маркером доступа (token manipulation) своего процесса, чтобы включить привилегию SeDebugPrivilege. Это предоставляет ему возможность взаимодействовать с процессами других пользователей и системными процессами, включая средства защиты.

Следующим шагом является нейтрализация систем безопасности. ValleyRAT содержит обширный вшитый список исполняемых файлов популярных антивирусных продуктов и систем предотвращения вторжений (Host-based Intrusion Prevention Systems, HIPS), в основном от китайских вендоров, таких как Qihoo 360 и Tencent. Используя полученные привилегии, троянец принудительно завершает эти процессы. Для обхода встроенного защитника Windows (Microsoft Defender) ValleyRAT программно запускает команду PowerShell, которая добавляет его расположение в список исключений, эффективно отключая сканирование в реальном времени.

ValleyRAT также включает комплексные меры против анализа. Он проверяет среду выполнения на предмет признаков виртуализации или песочницы (sandbox), используя инструкцию CPUID для проверки идентификатора производителя процессора и сканируя заголовки окон на предмет названий известных инструментов анализа, таких как Wireshark или Fiddler. Для обеспечения постоянного присутствия в системе троянец прописывает себя в автозагрузку через ключ реестра Run, используя маскирующее имя, например GFIRestart32.exe.

Перед установлением связи с командным сервером (Command and Control, C2) ValleyRAT проверяет доступ в интернет, обращаясь к китайскому поисковому порталу Baidu. Это еще раз подтверждает его ориентацию на определенный регион. Затем он генерирует динамический сигнал (beacon) для связи с C2, что позволяет загрузить следующий этап атаки.

Сочетание целенаправленной логики выполнения, многоуровневого подхода к уклонению от обнаружения и агрессивного отключения систем защиты отличает ValleyRAT от массового вредоносного ПО. Аналитики расценивают его как индикатор высокой степени уверенности (high-confidence indicator) целенаправленного вторжения, а не случайной атаки. Специалистам по безопасности рекомендуется обращать внимание на аномальную активность процесса MSBuild.exe, попытки отключения антивирусных процессов и необычные команды PowerShell, добавляющие исключения в Defender, для раннего выявления этой угрозы.

SHA256

• 190d493255c71f3cebb968c197aeef67c62d597b488c4a0b8cd77751e5999b94
• 3f7819debdca5df5a6cd50147b51bceba12c5e0f8a6961b1612777080496dde1
• ae857addc8eb51dbfa7d0a76b19dae7a6f275f7bf1042d1c982aca4f80ce635e