Morphisec發(fā)現(xiàn)了一種新型ValleyRAT惡意軟件變種，該變種采用了先進(jìn)的規(guī)避策略、多階段感染鏈和新型傳播方式，專門針對系統(tǒng)進(jìn)行攻擊。

Morphisec威脅實(shí)驗(yàn)室的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，一種新版本的復(fù)雜ValleyRAT惡意軟件通過多種渠道傳播，包括釣魚郵件、即時(shí)通訊平臺和受感染的網(wǎng)站。ValleyRAT是一種多階段惡意軟件，與臭名昭著的Silver Fox APT組織有關(guān)。

根據(jù)Morphisec的調(diào)查，該攻擊活動(dòng)的關(guān)鍵目標(biāo)是組織內(nèi)的高價(jià)值個(gè)人，尤其是財(cái)務(wù)、會計(jì)和銷售部門的員工，目的是竊取敏感數(shù)據(jù)。

感染鏈（來源：Morphisec）

惡意軟件的傳播方式

早期的ValleyRAT版本使用偽裝成合法軟件安裝程序的PowerShell腳本，通常通過DLL劫持將有效載荷注入到WPS Office甚至Firefox等程序的簽名可執(zhí)行文件中。2024年8月，Hackread.com報(bào)道了一種使用shellcode直接將惡意軟件組件注入內(nèi)存的ValleyRAT版本。

相比之下，當(dāng)前版本使用一個(gè)名為“Karlos”的虛假電信公司網(wǎng)站(karlostclub/)來分發(fā)惡意軟件，該網(wǎng)站下載一系列文件，包括一個(gè)檢查管理員權(quán)限并下載其他組件（包括DLL文件）的.NET可執(zhí)行文件。

“有趣的是，攻擊者在舊版本和新版本中重復(fù)使用了相同的URL，”研究人員在博客文章中寫道。

偽造Chrome下載作為初始感染途徑

研究人員表示，攻擊鏈中的初始感染途徑是從anizomcom/下載偽造的Chrome瀏覽器，誘騙受害者下載并執(zhí)行惡意軟件。sscronet.dll文件故意使用聽起來合法的標(biāo)識符命名，以避免引起懷疑，它將代碼注入到合法的svchost.exe進(jìn)程中，充當(dāng)監(jiān)視器，終止預(yù)定義排除列表中的任何進(jìn)程，以防止干擾惡意軟件的操作。

偽造的Chrome瀏覽器下載（來源：Morphisec）

惡意軟件的執(zhí)行與規(guī)避技術(shù)

接下來，惡意軟件利用修改版的抖音（中國版TikTok）可執(zhí)行文件進(jìn)行DLL側(cè)加載，并使用來自Valve游戲（特別是《Left 4 Dead 2》和《Killing Floor 2》）的合法Tier0.dll文件來執(zhí)行隱藏在nslookup.exe進(jìn)程中的代碼。該進(jìn)程從mpclient.dat中檢索并解密主要的ValleyRAT有效載荷。

解密后的有效載荷使用Donut shellcode在內(nèi)存中執(zhí)行惡意軟件，繞過傳統(tǒng)的基于磁盤的檢測方法。它還試圖禁用AMSI和ETW等安全機(jī)制。

ValleyRAT的功能與檢測規(guī)避

ValleyRAT是一種基于C++的遠(yuǎn)程訪問木馬，具有基本的RAT功能，例如訪問WinSta0窗口站以進(jìn)行屏幕、鍵盤和鼠標(biāo)交互，并監(jiān)視受害者的屏幕。它包含了廣泛的反VMware檢查，以規(guī)避虛擬化環(huán)境中的檢測，并在安裝期間使用其代碼中初始化的IP地址和端口與其C2服務(wù)器建立連接。

“如果惡意軟件未檢測到其在虛擬機(jī)（VM）中運(yùn)行，它會嘗試連接到baidu.com作為其網(wǎng)絡(luò)通信檢查的一部分，”研究人員指出。