导 读
一项新的 ValleyRAT 攻击活动已针对中国用户展开。FortiGuard 实验室发现,该攻击活动影响 Windows 用户,使攻击者能够控制受感染的机器。
ValleyRAT 恶意软件及其目标
ValleyRAT 主要针对电子商务、金融、销售和管理类企业。该恶意软件使用多个阶段和技术来监视和控制受害者,并使用任意和特定的插件来造成额外损害。
攻击链
FortiGuard 观察到的活动使用重型 shellcode 直接在内存中执行其组件,从而大大减少了其对受害者系统占用的空间。
ValleyRAT 采取的策略包括使用合法应用程序(包括 Microsoft Office)的图标,使恶意文件看起来无害。文件名也被设计成看起来像财务文件。
一旦执行,ValleyRAT 就会创建一个名为 TEST 的互斥锁,以确保单个实例运行。然后,它会更改特定的注册表项,以存储其命令和控制 (C2) 服务器的 IP 和端口,从而允许其与攻击者的服务器进行通信。
恶意软件添加的计划任务
ValleyRAT会终止包含以下可执行文件名的安全软件进程:
-
360Sd.exe
-
360leakfixer.exe
-
safesvr.exe
-
MultiTip.exe
-
ZhuDongFangYu.exe
-
kscan.exe
-
kwsprotect64.exe
-
kxescore.exe
-
HipsMain.exe
-
HipsDaemon.exe
-
QMDL.exe
-
QMPersonalCenter.exe
-
QQPCPatch.exe
-
QQPCRealTimeSpeedup.exe
-
QQPCRTP.exe
-
QQRepair.exe
修改注册表,禁用安全软件的自动启动。
该恶意软件进一步尝试通过确定其是否在虚拟机(VM)中运行来逃避检测,如果是,它就会终止其进程。
高级逃避和执行技巧
ValleyRAT 采用休眠混淆技术,即修改恶意代码所在分配内存的权限,以避免被内存扫描器检测到。它还使用 XOR 操作对 shellcode 进行编码,增加了一层复杂性,进一步挑战了基于模式的安全签名。
此外,该恶意软件依靠反射式 DLL 加载直接从内存运行其组件。初始化后,该恶意软件使用 AES-256 算法解密 shellcode,然后通过睡眠混淆例程执行此代码。ValleyRAT 还利用 API 哈希来混淆其使用的 API 名称,使检测过程复杂化。
与银狐的联系
ValleyRAT 是 Silver Fox 威胁组织的后门程序,功能齐全,能够远程控制受感染的工作站。它可以截取屏幕截图、执行文件并在受害系统上加载其他插件。
研究人员表示:“该恶意软件涉及分不同阶段加载的多个组件,主要使用 shellcode 直接在内存中执行,从而大大减少其在系统中的文件痕迹。”
该恶意软件监视用户活动和提供额外恶意插件的能力凸显了其对企业安全的重大威胁。
FortiGuard 表示:“该恶意软件涉及分不同阶段加载的多个组件,主要使用 shellcode 直接在内存中执行,从而大大减少其在系统中的文件痕迹。”
“一旦恶意软件在系统中站稳脚跟,它就会支持能够监视受害者活动并提供任意插件的命令,以进一步实现攻击者的意图。”
为了应对此类威胁,组织应保持防病毒和入侵防御系统 (IPS) 签名为最新版本,并确保其员工接受安全意识培训。
技术报告:https://www.fortinet.com/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers
新闻链接:
https://www.infosecurity-magazine.com/news/valleyrat-campaign-hits-windows/
今日安全资讯速递
APT事件
Advanced Persistent Threat
伊朗中央银行(CBI)和其他几家银行遭受重大网络攻击,造成业务混乱
https://securityaffairs.com/167066/hacking/cyberattack-central-bank-of-iran.html
伊朗支持的组织加强针对以色列和美国的网络钓鱼活动
https://blog.google/threat-analysis-group/iranian-backed-group-steps-up-phishing-campaigns-against-israel-us/
绿盟科技报告:新的网络威胁针对阿塞拜疆和以色列外交官,窃取敏感数据
https://thehackernews.com/2024/08/new-cyber-threat-targets-azerbaijan-and.html
Meta 在美国大选前警告警惕俄罗斯、伊朗的恶意网络攻击
https://therecord.media/meta-troll-networks-iran-russia-election
与俄罗斯有关的黑客攻击东欧非政府组织和媒体
https://thehackernews.com/2024/08/russian-linked-hackers-target-eastern.html
https://www.theguardian.com/world/article/2024/aug/14/russia-phishing-hacking-attacks
一般威胁事件
General Threat Incidents
智利一半以上人口的数据遭大规模泄露
https://cybernews.com/security/caja-los-andes-chile-data-leak/
新的 Banshee Stealer恶意软件攻击苹果系统,每月售价 3,000 美元
https://www.securityweek.com/new-banshee-stealer-macos-malware-priced-at-3000-per-month/
云配置错误导致 11万 个域名遭遇大规模勒索软件攻击
https://www.securityweek.com/cloud-misconfigurations-expose-110000-domains-to-extortion-in-widespread-campaign/
高级 ValleyRAT 攻击活动袭击中国 Windows 用户
https://www.infosecurity-magazine.com/news/valleyrat-campaign-hits-windows/
预装易受攻击的应用程序可能导致数百万谷歌 Pixel 手机遭到黑客攻击
https://securityaffairs.com/167130/security/pixel-devices-pre-installed-vulnerable-app.html
炭黑供应商 Orion 因商业电子邮件诈骗损失 6000 万美元
https://therecord.media/orion-carbon-black-bec-scam-millions
加拿大大型汽车经销商AutoCanada 遭受网络攻击
https://www.securityweek.com/autocanada-hit-by-cyberattack/
2024 年第二季度针对工业企业的勒索软件攻击激增
https://www.securityweek.com/ransomware-attacks-on-industrial-firms-surged-in-q2-2024/
俄亥俄州哥伦布市遭遇勒索软件攻击,市政工作人员信息泄露
https://www.securityweek.com/mayor-of-columbus-ohio-says-ransomware-attackers-stole-corrupted-unusable-data/
RansomHub 勒索软件组织在最新攻击中部署了新的反EDR工具
https://thehackernews.com/2024/08/ransomhub-group-deploys-new-edr-killing.html
与 Black Basta 有关的勒索软件利用 SystemBC 恶意软件攻击用户
https://thehackernews.com/2024/08/black-basta-linked-attackers-targets.html
华盛顿时报遭 Rhysida 勒索软件集团攻击
https://cybernews.com/news/washington-times-ransomware-attack-rhysida-claim/
2024 年上半年勒索软件团伙获利逾 4.5 亿美元
https://therecord.media/ransomware-gangs-set-record-for-money-extorted
新型 Gafgyt 僵尸网络变种利用弱 SSH 密码进行 GPU 挖矿
https://thehackernews.com/2024/08/new-gafgyt-botnet-variant-targets-weak.html
漏洞事件
Vulnerability Incidents
美国网络安全机构 CISA 警告称,最近 SolarWinds Web Help Desk 漏洞(CVE-2024-28986,CVSS 评分为 9.8)已被利用
https://www.securityweek.com/solarwinds-web-help-desk-vulnerability-possibly-exploited-as-zero-day/
利用 Copy2Pwn 0day漏洞(CVE-2024-38213)绕过 Windows 保护
https://www.securityweek.com/copy2pwn-zero-day-exploited-to-bypass-windows-protections/
零点击漏洞促使紧急修补 Windows TCP/IP 漏洞(CVE-2024-38063,CVSS 评分为 9.8)
https://www.securityweek.com/zero-click-exploit-concerns-drive-urgent-patching-of-windows-tcp-ip-flaw/
未修复的 Microsoft Entra ID 身份验证绕过漏洞威胁混合 ID
https://www.darkreading.com/application-security/unfixed-microsoft-entra-id-authentication-bypass-threatens-hybrid-clouds
SolarWinds 发布针对关键 Web Help Desk 漏洞(CVE-2024-28986,CVSS 评分为 9.8)的修补程序
https://www.securityweek.com/solarwinds-issues-hotfix-for-critical-web-help-desk-vulnerability/
Palo Alto Networks 修复 Cortex XSOAR 中未经身份验证的命令执行缺陷
https://www.securityweek.com/palo-alto-networks-patches-unauthenticated-command-execution-flaw-in-cortex-xsoar/
芯片制造商补丁日:英特尔、AMD 修复超过 110 个漏洞
https://www.securityweek.com/chipmaker-patch-tuesday-intel-amd-address-over-110-vulnerabilities/
GitHub 漏洞“ArtiPACKED”导致存储库面临被接管的风险
https://thehackernews.com/2024/08/github-vulnerability-artipacked-exposes.html
几乎所有 Google Pixel 手机都受到未修复的 Android 隐藏应用程序漏洞的影响
https://www.wired.com/story/google-android-pixel-showcase-vulnerability/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):高级 ValleyRAT 攻击活动袭击中国 Windows 用户
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论