Недавнее расследование FortiGuard Labs выявило сложную киберкампанию, направленную специально на китайских пользователей Windows с использованием вредоносного ПО ValleyRAT. Эта многоэтапная атака особенно нацелена на такие сектора, как электронная коммерция, финансы, продажи и управление, вызывая обеспокоенность среди компаний, работающих в этих областях.
Начальная инфекция
Начало этой атаки отмечено хитроумно составленной приманкой, часто маскирующейся под легитимный финансовый или бизнес-документ. Используя иконки, напоминающие доверенные приложения, такие как Microsoft Office, вредоносное ПО создает пустой файл, который запускает приложение по умолчанию для открытия документов Microsoft Office Word. В случаях, когда приложение по умолчанию не настроено, отображается сообщение об ошибке, которое служит для отвлечения пользователя.
После выполнения вредоносное ПО закрепляется в системе, создавая мьютекс и изменяя записи реестра. Оно использует различные техники для уклонения от обнаружения, включая проверки на виртуальные среды и сложные методы обфускации.
Доставка и выполнение полезной нагрузки
Ключевым аспектом этой кампании является развертывание шеллкода, позволяющего вредоносному ПО загружать свои компоненты непосредственно в память. Этот подход эффективно обходит традиционные механизмы обнаружения на основе файлов. Впоследствии вредоносное ПО устанавливает связь с сервером команд и управления (C2) для загрузки дополнительных компонентов, включая основную полезную нагрузку ValleyRAT.
FortiGuard Labs приписывает это вредоносное ПО предполагаемой группе APT под названием «Silver Fox». Группа известна своей способностью графически отслеживать действия пользователей, одновременно доставляя дополнительные плагины и вредоносное ПО на скомпрометированную систему.
Техники уклонения
Для повышения своей эффективности ValleyRAT использует ряд тактик уклонения. К ним относятся отключение антивирусного программного обеспечения, изменение настроек реестра для блокировки приложений безопасности и использование обфускации сна для усложнения анализа. Кроме того, вредоносное ПО кодирует свой шеллкод с помощью операции XOR для дальнейшего уклонения от сканеров памяти.
Возможности полезной нагрузки
Основные возможности полезной нагрузки ValleyRAT предоставляют злоумышленникам обширный контроль над зараженной системой. После встраивания оно может выполнять команды для мониторинга действий пользователей и развертывания произвольных плагинов для достижения целей злоумышленников.
ValleyRAT предназначен для мониторинга активности пользователей, эксфильтрации конфиденциальных данных и потенциального введения дополнительных вредоносных нагрузок. Его набор команд включает функции загрузки плагинов, захвата скриншотов, выполнения файлов, манипулирования реестром и управления критическими системными функциями, такими как перезагрузки, выключения и выходы из системы.
Кампания сосредоточена на китайских пользователях, что подчеркивается использованием приманок на китайском языке и стратегическим уклонением от популярных китайских антивирусных решений. Устойчивость вредоносного ПО и возможности удаленного выполнения команд представляют значительную угрозу для затронутых систем.
Эта кампания продолжает развиваться, и обновления будут предоставлены по мере появления новой информации. В то же время пользователям настоятельно рекомендуется держать свое программное обеспечение безопасности в актуальном состоянии и проявлять осторожность при взаимодействии с неожиданными файлами или ссылками.
Сопутствующие темы:
- Фальшивое исправление для CrowdStrike распространяет Remcos
