Gh0stRAT / Sainbox – ValleyRAT
A Proofpoint azt figyelte meg, hogy a kínai nyelvet beszélőket célzó bizonyos rosszindulatú programcsaládok aktivitása megnőtt. Az újonnan megfigyelt ValleyRAT új rosszindulatú programként jelenik meg a kínai témájú kiberbűnözési tevékenységek között, míg a Sainbox RAT és a kapcsolódó változatai szintén a közelmúltban aktívak. Miután ez a rosszindulatú program évekig nem jelent meg a Proofpoint fenyegetési adatai között, figyelemre méltó, hogy az elmúlt hat hónapban több kampányban is megjelent. A régebbi kártevők még mindig hatékonyak lehetnek, különösen akkor, ha a fenyegetés szereplői folyamatosan változtatják a taktikát IP-címek, tartományok, kódolás és obfuszkálás révén. Következésképpen, bár ezek a rosszindulatú programcsaládok nem újak, a szervezetek nem engedhetik meg maguknak, hogy alábecsüljék az általuk jelentett kockázatot.
A kínai témájú kifejezés az e rosszindulatú tevékenységhez kapcsolódó bármely megfigyelt tartalom leírására szolgál, beleértve a csalikat, rosszindulatú programokat, célzást és minden olyan metaadatot, amely kínai nyelvhasználatot tartalmaz. A kampányok általában alacsony volumenűek, és általában Kínában működő globális szervezeteknek küldik őket. Az e-mailek tárgya és tartalma általában kínai nyelven íródott, és jellemzően üzleti témákhoz kapcsolódnak, például számlákhoz, kifizetésekhez és új termékekhez.
A bizonyítási kutatások azt sugallják, hogy ez a tevékenység nem egyetlen entitáshoz kapcsolódik, hanem inkább időbeli mintákon alapuló tevékenységek csoportja. A ValleyRAT megjelenése az idősebb családok mellett az időbeli kapcsolatuk lehetőségére utal. A Proofpoint arra számít, hogy a ValleyRAT-ot a jövőben gyakrabban fogják használni.