Эксперты по кибербезопасности представили детальный анализ второй стадии (S2) вредоносного программного обеспечения семейства ValleyRAT. Этот сложный троян удаленного доступа (Remote Access Trojan, RAT), написанный на C++, демонстрирует высокий уровень изощренности и используется как в кибершпионаже, так и в финансово мотивированных атаках. Основной регион его активности включает Китай, Гонконг, Тайвань и страны Юго-Восточной Азии.
Описание
Основной полезной нагрузкой (payload) ValleyRAT_S2 выступает функциональное ядро, которое активируется после успешного первоначального заражения. В то время как первая стадия отвечает за проникновение и уклонение от обнаружения, вторая реализует полный набор функций бэкдора, включая управление через командный центр (C2, Command and Control), механизмы обеспечения постоянного присутствия (persistence) в системе и всестороннюю разведку.
Методы распространения и маскировки
Анализ выявил несколько ключевых векторов атаки. Зловред часто распространяется через поддельные установщики программного обеспечения, например, маскируясь под инструменты для повышения продуктивности, такие как «AI表格生成工具» (генератор электронных таблиц на базе искусственного интеллекта). Другим распространенным методом является фишинг через вложения в электронных письмах. Однако наиболее изощренной техникой признана подгрузка DLL (DLL Side-Loading).
Злоумышленники размещают вредоносную библиотеку с именем, имитирующим легитимную, например, "steam_api64.dll", в каталоге вместе с подписанным легальным приложением. При запуске приложение загружает эту библиотеку, что позволяет вредоносному коду выполниться. Этот метод эффективно обходит сигнатурные антивирусы и может не требовать повышенных привилегий (UAC, User Account Control). В рассмотренных образцах ValleyRAT_S2 маскировался под файлы игры Counter-Strike: Global Offensive (CS:GO), используя поддельные пути отладки и злоупотребляя сертификатами кодовой подписи, выданными на имя китайской компании, не связанной с разработкой игр.
Технические возможности и поведение
После внедрения ValleyRAT_S2 проводит глубокий сбор информации о системе. Он перечисляет запущенные процессы, анализирует реестр, сканирует файловую систему и собирает данные о локали. Для обеспечения долговременного присутствия троян интегрируется с Планировщиком заданий Windows, использует методы для обнаружения песочниц (sandbox) и активно применяет обфускацию вызовов API.
Особое внимание исследователи уделили механизмам внедрения кода. ValleyRAT_S2 использует такие техники, как манипуляция контекстом потока (SetThreadContext) и инъекция в память с помощью WriteProcessMemory и CreateRemoteThread для выполнения своего кода в легитимных процессах. Это позволяет ему оставаться скрытым. Анализ также выявил функцию, которая запускает командную оболочку "cmd.exe" через ShellExecuteExA и ожидает её завершения, что указывает на возможность выполнения произвольных команд.
Для автоматического восстановления в случае сбоя или удаления троян генерирует и запускает пакетный скрипт ("monitor.bat"). Этот скрипт постоянно проверяет, активен ли определенный процесс, и в случае его остановки перезапускает вредоносную нагрузку с помощью VBS-скрипта, демонстрируя сложный подход к обеспечению живучести.
Инфраструктура управления и связь
Командный центр трояна использует жестко заданные IP-адреса и порты, такие как "27.124.3.175:14852". Для связи применяется собственный протокол поверх TCP. Перед установкой соединения ValleyRAT_S2 разрешает доменное имя через стандартный API "getaddrinfo", а в случае неудачи делает паузу, что является типичной тактикой для избегания подозрительной сетевой активности. Исследователи разработали специализированный инструмент для извлечения конфигурации C2, который успешно выявил встроенные адреса серверов управления в анализируемом образце.
Соответствие тактикам MITRE ATT&CK
Действия ValleyRAT_S2 были детально соотнесены с матрицей MITRE ATT&CK. Среди ключевых тактик: Initial Access (первичный доступ) через фишинг и компрометацию цепочки поставок (Supply Chain Compromise), Execution (выполнение) с помощью командной оболочки, Persistence (обеспечение постоянства) через задания планировщика и подгрузку DLL, Defense Evasion (уклонение от защиты) с помощью маскировки и обфускации, а также Discovery (разведка) для сбора системной информации. Это комплексное соответствие подчеркивает продвинутую и многостороннюю природу угрозы.
Эксперты пришли к выводу, что ValleyRAT_S2 представляет собой хорошо спроектированную и модульную угрозу, демонстрирующую растущую изощренность современных троянов. Его фокус на конкретные регионы и использование сложных техник маскировки требуют от организаций комплексных мер защиты, включающих мониторинг сети, поведенческий анализ и постоянное обучение пользователей.
Индикаторы компрометации
IPv4 Port Combinations
- 27.124.3.175:14852
SHA256
- a8a42814c253ca5e93e81be5bd69149ff71b9ac3024420614fba37fb0834b3c0
- d6387be78d258a820e4cb35ec53c65d52a813b63147488629b56269f6648adc1
