ValleyRAT – Winos 4.0
A Rapid7 elemzés részletesen bemutatja a Winos 4.0 nevű, memóriában rezidens malware terjesztésére irányuló kampányt, amely hamisított NSIS (Nullsoft Scriptable Install System) telepítőket használ, például népszerű alkalmazások, mint a VPN kliensek és a QQBrowser álcázására. A kampány során alkalmazott többlépcsős fertőzési láncot a kutatók Catena néven említik, amely beágyazott shellkódot és konfigurációváltó logikát alkalmaz a payloadok, például a Winos v4.0 teljes mértékben memóriában történő betöltésére, ezzel elkerülve a hagyományos antivírus eszközök észlelését.
A Winos v4.0, más néven ValleyRAT, egy fejlett, C++ nyelven írt rosszindulatú keretrendszer, amely plugin-alapú rendszert használ adatgyűjtésre, távoli shell hozzáférés biztosítására és DDoS támadások indítására. A kampány során a támadók hamisított NSIS telepítőket használnak, amelyek legitim szoftvereknek tűnnek, például a LetsVPN és a QQBrowser, hogy rávegyék a felhasználókat a telepítésre. A telepítők beágyazott shellkódot tartalmaznak, amelyeket .ini fájlokban helyeznek el, és reflektív DLL injekcióval töltik be a payloadokat a memóriába.
A fertőzés során a malware perzisztenciát ér el ütemezett feladatok regisztrálásával, PowerShell szkriptek és watchdog batch fájlok használatával, amelyek figyelik és újraindítják a rosszindulatú folyamatokat, ha azok leállnak. A kampány infrastruktúrája főként Hongkongban található szervereken fut, és több koordinált IP-címet használ azonos payloadok terjesztésére, ami jól szervezett és kitartó operátorra utal.
A kampány célpontjai elsősorban kínai nyelvű közösségekl, és a támadók hosszú távú, gondosan megtervezett műveleteket hajtanak végre. A malware C2 vezérlőszerverei főként Hongkongban találhatók, és a kommunikáció TCP 18856 és HTTPS 443 portokon keresztül zajlik.
A kampány során alkalmazott technikák közé tartozik a hamisított NSIS telepítők használata, beágyazott shellkód alkalmazása .ini fájlokban, reflektív DLL injekció, PowerShell szkriptek és watchdog batch fájlok használata folyamatos jelenlét elérése. A kampány során a támadók különböző taktikákat alkalmaznak, például a PowerShell szakaszok eltávolítását és közvetlen DLL végrehajtást regsvr32.exe segítségével, hogy alkalmazkodjanak a detekciós nyomáshoz.
