ValleyRAT kampányok

Editors' Pick

A LevelBlue SpiderLabs elemzése szerint a ValleyRAT terjesztése 2026-ban két, egymással párhuzamos kampányon keresztül zajlik. Az egyik továbbra is hamis szoftvertelepítőkre – például LINE-telepítőkre – épül, és elsősorban kínai nyelvű felhasználókat céloz, míg az újonnan megfigyelt kampány rosszindulatú e-mailekkel támad, és japán, illetve hagyományos kínai nyelvű célpontokat vesz célba. A kutatók ugyanazon infrastruktúra használata alapján valószínűsítik, hogy mindkét kampány mögött ugyanaz a fenyegető szereplő áll. A fertőzés egy URL-t tartalmazó e-maillel kezdődik, amely egy ZIP archívum letöltésére irányít. Az archívumban egy legitimnek tűnő EXE és egy rosszindulatú DLLtalálható. Az EXE DLL side-loading technikával betölti a DLL-t, amely letölti és memóriából elindítja a ValleyRATvégső payloadját. A kínai nyelvű csalilevelek jellemzően személyzeti áthelyezésről és fizetésemelésről szólnak, míg japán nyelvű változatokban hasonló üzleti témákat használnak a felhasználók megtévesztésére. 

A LevelBlue szerint a ValleyRAT egyik legfontosabb jellemzője a fejlett észleléselkerülés. A malware több azonosítás-elkerülő technikát alkalmaz, valamint a ritkán megfigyelt Pool Party Variant 7 folyamatinjektálási módszerrel juttatja be saját kódját legitim folyamatokba, megnehezítve a végpontvédelmi megoldások számára az észlelést. A fertőzés után a RAT képes távoli parancsvégrehajtásra, fájlkezelésre, további komponensek letöltésére, rendszerinformációk gyűjtésére és tartós hozzáférés fenntartására. A kutatás részletesen ismerteti a teljes fertőzési láncot, valamint bemutatja azokat a naplózási és viselkedéselemzési módszereket, amelyeket a LevelBlue GSOC a ValleyRAT aktivitásának felismerésére használ. A fenyegető szereplők folyamatosan módosítják a fertőzési láncot és a betöltő komponenseket, miközben maga a ValleyRAT funkcionálisan nagyrészt változatlan marad, ami hosszú távú, folyamatos fejlesztésre és aktív üzemeltetésre utal.

FORRÁS