کاربران چینی زبان هدف بدافزار ValleyRAT

security news

محققان Fortinet FortiGuard Labs در گزارشی اظهار کردند که ValleyRAT یک بدافزار چند مرحله‌ای است که از تکنیک‌های متنوعی جهت نظارت و کنترل قربانیان خود و استقرار پلاگین‌های دلخواه برای ایجاد آسیب بیشتر استفاده می‌کند.

یکی دیگر از ویژگی‌های قابل توجه این بدافزار، استفاده فراوان آن از shellcode برای اجرای مستقیم بسیاری از مولفه‌های آن در حافظه است که به طور قابل توجهی ردپای فایل آن را در سیستم قربانی کاهش می‌دهد. توالی حمله یک فرآیند چند مرحله‌ای است که با یک لودر مرحله اول شروع می‌شود و برنامه‌های معتبری مانند Microsoft Office را جعل می‌کند تا آنها را بی‌‌خطر جلوه دهد. راه‌اندازی فایل اجرایی باعث می‌شود که سند decoy حذف و Shellcode برای پیشروی به مرحله بعدی حمله بارگذاری شود.

Shellcode، مسئول راه‌اندازی یک ماژول beaconing است که با یک سرور فرماندهی و کنترل (C2) ارتباط برقرار می‌کند تا دو مؤلفه RuntimeBroker و RemoteShellcode را دانلود کند، همچنین کسب دسترسی ادمین با بهره‌برداری از یک باینری معتبر به نام fodhelper.exe و دستیابی به یک بای‌پس UAC را صورت می‌دهد. روش دوم مورد استفاده برای ارتقا سطح دسترسی مربوط به سوء استفاده از رابط CMSTPLUA COM است، تکنیکی که قبلا توسط عوامل تهدید مرتبط با باج‌افزار Avaddon استفاده و همچنین در کمپین‌های اخیر Hijack Loader مشاهده شده بود.

  • پلتفرم‌ها و بخش‌های تحت تأثیر: مایکروسافت ویندوز و کاربران آن
  • تاثیر: دستگاه‌های در معرض خطر تحت کنترل عامل تهدید هستند
  • سطح شدت: متوسط

https://www.fortinet.com/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers