محققان Fortinet FortiGuard Labs در گزارشی اظهار کردند که ValleyRAT یک بدافزار چند مرحلهای است که از تکنیکهای متنوعی جهت نظارت و کنترل قربانیان خود و استقرار پلاگینهای دلخواه برای ایجاد آسیب بیشتر استفاده میکند.
یکی دیگر از ویژگیهای قابل توجه این بدافزار، استفاده فراوان آن از shellcode برای اجرای مستقیم بسیاری از مولفههای آن در حافظه است که به طور قابل توجهی ردپای فایل آن را در سیستم قربانی کاهش میدهد. توالی حمله یک فرآیند چند مرحلهای است که با یک لودر مرحله اول شروع میشود و برنامههای معتبری مانند Microsoft Office را جعل میکند تا آنها را بیخطر جلوه دهد. راهاندازی فایل اجرایی باعث میشود که سند decoy حذف و Shellcode برای پیشروی به مرحله بعدی حمله بارگذاری شود.
Shellcode، مسئول راهاندازی یک ماژول beaconing است که با یک سرور فرماندهی و کنترل (C2) ارتباط برقرار میکند تا دو مؤلفه RuntimeBroker و RemoteShellcode را دانلود کند، همچنین کسب دسترسی ادمین با بهرهبرداری از یک باینری معتبر به نام fodhelper.exe و دستیابی به یک بایپس UAC را صورت میدهد. روش دوم مورد استفاده برای ارتقا سطح دسترسی مربوط به سوء استفاده از رابط CMSTPLUA COM است، تکنیکی که قبلا توسط عوامل تهدید مرتبط با باجافزار Avaddon استفاده و همچنین در کمپینهای اخیر Hijack Loader مشاهده شده بود.
- پلتفرمها و بخشهای تحت تأثیر: مایکروسافت ویندوز و کاربران آن
- تاثیر: دستگاههای در معرض خطر تحت کنترل عامل تهدید هستند
- سطح شدت: متوسط
https://www.fortinet.com/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers
