Исследователи из ANY.RUN недавно раскрыли сложную кибератаку, нацеленную на пользователей, говорящих на китайском языке. Эта атака использует многоэтапное вредоносное ПО под названием ValleyRAT, предназначенное для проникновения в системы и создания постоянных бэкдоров, что позволяет злоумышленникам контролировать и мониторить скомпрометированные устройства.
Механизм ValleyRAT
После установки ValleyRAT разворачивает дополнительные плагины, которые расширяют его возможности, что может привести к серьезным последствиям, таким как утечка данных, инциденты с вымогательским ПО или формирование ботнетов. Последствия этого вредоносного ПО особенно тревожны для китайскоязычных пользователей и организаций, подчеркивая необходимость усиленных мер кибербезопасности и повышенной бдительности против таких сложных угроз.
Киберкампания, впервые обнаруженная в июне 2024 года, использует электронные сообщения с вредоносными URL-адресами, которые ведут к сжатым исполняемым файлам, содержащим вредоносное ПО ValleyRAT. Эта угроза особенно искусна в уклонении от обнаружения, выполняясь непосредственно в памяти, что делает ее грозным противником.
Дизайн ValleyRAT позволяет ему сохранять устойчивость и повышать привилегии, что позволяет ему удерживать позиции на скомпрометированных системах и получать несанкционированный доступ к конфиденциальной информации. Кампания продолжает развиваться, используя усовершенствованные техники для увеличения своего воздействия и уклонения от обнаружения.
ValleyRAT был проанализирован в песочнице ANY.RUN.
Цепочка атаки начинается с вредоносного исполняемого файла, маскирующегося под легитимное приложение. При выполнении он сбрасывает документ-приманку и загружает шеллкод для установления соединения с сервером команд и управления (C2).
С этого сервера он загружает компоненты, такие как RuntimeBroker и RemoteShellcode, которые играют ключевую роль в достижении устойчивости и административных привилегий. Эксплуатируя уязвимости в легитимных бинарных файлах, таких как fodhelper.exe и интерфейс CMSTPLUA COM, злоумышленники дополнительно повышают свои привилегии на скомпрометированной системе.
RuntimeBroker служит вторичным загрузчиком, задачей которого является получение дополнительного вредоносного ПО с удаленного C2-сервера, инициируя новый цикл заражения и внедряя механизмы для обнаружения и уклонения от виртуальных сред.
В целенаправленном подходе вредоносное ПО сканирует реестр Windows на наличие специфических ключей, связанных с популярными китайскими приложениями, такими как Tencent, WeChat и Alibaba DingTalk, что подтверждает его фокус на китайских системах.
RemoteShellcode функционирует как загрузчик для ValleyRAT. При выполнении он устанавливает сетевое соединение с сервером команд и управления с использованием протоколов UDP или TCP, облегчая передачу полезной нагрузки ValleyRAT. После получения эта полезная нагрузка предоставляет злоумышленникам удаленный контроль над скомпрометированной системой.
Возможности ValleyRAT обширны: удаленное выполнение кода, захват скриншотов, управление файлами и возможность загрузки дополнительных плагинов, что делает его значительной угрозой для кибербезопасности.
Детали активности CnC ValleyRAT
Песочница ANY.RUN оказалась бесценным инструментом для анализа поведения ValleyRAT. Она выявила, что MSBuild.exe выполнял файл в каталоге Temp. Хотя MSBuild является легитимным компонентом для сборки проектов .NET, его использование в этом контексте предполагает попытку скрыть вредоносную активность.
Правила обнаружения от Suricata IDS в песочнице указывают на попытки связи с сервером команд и управления, что свидетельствует о потенциальном заражении вредоносным ПО с использованием легитимных инструментов и скрытых каналов связи.
Вы из SOC/DFIR команд? Попробуйте расширенный анализ вредоносного ПО и фишинга с ANY.RUN - 14-дневная бесплатная пробная версия.