Morphisec یک نوع بدافزار جدید ValleyRAT را با تاکتیکهای پیشرفته فرار، زنجیرههای عفونت چند مرحلهای و روشهای تحویل جدید سیستمهای هدفگیری کشف میکند.
محققان امنیت سایبری در Morphisec Threat Lab نسخه جدیدی از بدافزار پیچیده ValleyRAT را کشف کردهاند که از طریق کانالهای مختلف از جمله ایمیلهای فیشینگ، پلتفرمهای پیامرسانی فوری و وبسایتهای در معرض خطر توزیع شده است. ValleyRAT یک بدافزار چند مرحله ای است که به گروه بدنام Silver Fox APT مرتبط است.
بر اساس تحقیقات Morphisec که با Hackread.com به اشتراک گذاشته شده است، اهداف کلیدی این کمپین افراد با ارزش بالا در سازمان ها، به ویژه افرادی که در امور مالی، حسابداری و فروش هستند، هستند و هدف سرقت داده های حساس است.
نسخههای قبلی ValleyRAT از اسکریپتهای PowerShell استفاده میکردند که بهعنوان نصبکنندههای نرمافزار قانونی پنهان شده بودند، که اغلب از ربودن DLL برای تزریق بار خود به فایلهای اجرایی امضاشده از برنامههایی مانند WPS Office و حتی Firefox استفاده میکردند. در آگوست 2024، Hackread.com در مورد یک نسخه ValleyRAT با استفاده از کد پوسته برای تزریق اجزای بدافزار به طور مستقیم به حافظه گزارش داد.
برعکس، نسخه فعلی از یک وبسایت جعلی شرکت مخابراتی چینی «Karlos» (karlostclub/) برای توزیع بدافزار استفاده میکند که مجموعهای از فایلها، از جمله یک فایل اجرایی NET را دانلود میکند که امتیازات سرپرست را بررسی میکند و اجزای اضافی، از جمله یک فایل DLL را دانلود میکند.
محققان در این پست وبلاگ نوشتند: «جالب است که بازیگر از همان URL برای هر دو نسخه قدیمی و جدیدتر حمله خود استفاده مجدد کرد.
به گفته محققان، دانلود جعلی مرورگر کروم از anizomcom/ ناقل عفونت اولیه در زنجیره حمله است که قربانی را فریب می دهد تا بدافزار را دانلود و اجرا کند. فایل sscronet.dll که عمداً با یک شناسه با صدای قانونی نامگذاری شده است تا از مشکوک شدن جلوگیری شود، کد را به فرآیند قانونی svchost.exe تزریق می کند، به عنوان یک مانیتور عمل می کند و برای جلوگیری از تداخل با عملکرد بدافزار، هر فرآیندی را در یک لیست محرومیت از پیش تعریف شده خاتمه می دهد.
در مرحله بعد، این بدافزار از نسخه اصلاح شده Douyin (TikTok چینی) قابل اجرا برای بارگذاری جانبی DLL و یک Tier0.dll قانونی از بازی های Valve (مخصوصاً Left 4 Dead 2 و Killing Floor 2) برای اجرای کدهای پنهان در فرآیند nslookup.exe استفاده می کند. این فرآیند بار اصلی ValleyRAT را از mpclient.dat بازیابی و رمزگشایی می کند.
محموله رمزگشایی شده از کد پوسته Donut برای اجرای بدافزار در حافظه استفاده می کند و روش های سنتی تشخیص مبتنی بر دیسک را دور می زند. همچنین سعی می کند مکانیسم های امنیتی مانند AMSI و ETW را غیرفعال کند.
برای اطلاع شما، ValleyRAT یک تروجان دسترسی از راه دور مبتنی بر C ++ با عملکردهای RAT اساسی مانند دسترسی به ایستگاه پنجره WinSta0 برای تعامل صفحه نمایش، صفحه کلید و ماوس و نظارت بر صفحه نمایش قربانی است. این دارای بررسی های گسترده ضد VMware برای فرار از شناسایی در محیط های مجازی است و با سرور C2 خود با استفاده از آدرس های IP و پورت هایی که در هنگام نصب در کد آن مقدار دهی اولیه می شوند، متصل می شود.
محققان خاطرنشان کردند: «اگر بدافزار تشخیص ندهد که در داخل یک ماشین مجازی (VM) در حال اجرا است، سعی میکند به عنوان بخشی از بررسی ارتباط شبکه خود با baidu.com ارتباط برقرار کند.
تغییر تاکتیکها/تکنیکهای فرار گروه Silver Fox APT، پیچیدگی روزافزون حملات جدید را نشان میدهد. سازمان ها باید یک استراتژی امنیتی مناسب، از جمله حفاظت از نقطه پایانی سخت گیرانه تر، آموزش کارکنان و نظارت مستمر، برای کاهش خطرات اتخاذ کنند.