ValleyRAT változat elemzése

Editors' Pick

A Zscaler ThreatLabz elemzése szerint a ValleyRAT egy távoli hozzáférést biztosító trójai (Remote Access Trojan – RAT), amelyet 2023 elején dokumentáltak. Fő célja, hogy beszivárogjon a rendszerekbe és kompromittálja azokat, és távoli támadóknak jogosulatlan hozzáférést és ellenőrzést biztosítson a fertőzött gépek felett. A ValleyRAT általában adathalász e-maileken vagy rosszindulatú letöltéseken keresztül terjed. A legújabb verzióban a ValleyRAT új parancsokat vezetett be, például képernyőképek rögzítését, folyamatszűrést, kényszerített leállítást és a Windows eseménynaplók törlését. 

A Zscaler ThreatLabz nemrégiben azonosított egy új kampányt, amely a ValleyRAT legújabb verzióját szállítja, és amely több lépcsőben zajlik. A ValleyRAT terjesztésére használt kampány technikai elemzését ismerteti a Zscaler ThreatLabz, elmerülve a ValleyRAT mintában megfigyelt részletekben és frissítésekben.

Az új ValleyRAT terjesztésére használt kampány – amelyet egy kínai székhelyű fenyegető szereplő fejlesztett ki – a kezdeti szakasz letöltője egy HTTP File Server (HFS) segítségével tölti le a támadás további szakaszaihoz szükséges fájlokat. A kampányban használt letöltő és betöltő különböző technikákat alkalmaz, többek között vírusellenőrzést, DLL sideloadinget és folyamatinjekciót. 

A parancs- és vezérlőkiszolgálóval (C2) való kommunikációra szolgáló konfigurációt egy speciális jelölő azonosítja. A konfigurációs adatokat ezután elemzik a C2 IP-cím, a port és a kommunikációs (UDP- vagy TCP-alapú) protokoll azonosítása érdekében. A kampány keretében szállított ValleyRAT-minta módosításokkal rendelkezik.

FORRÁS