新的ValleyRAT恶意软件在多阶段攻击中针对中国Windows用户

一场复杂的ValleyRAT活动针对的是中国的Windows用户。了解恶意软件的多阶段攻击、逃避检测的能力以及对受损系统的潜在影响。了解威胁行为者的策略以及对个人和组织构成的风险。

FortiGuard实验室的一份新研究报告揭示了一场专门针对中国Windows用户的ValleyRAT恶意软件的复杂活动。这是一个针对电子商务、金融、销售和管理企业的多阶段恶意软件。

初次感染：

攻击始于欺骗性诱饵，通常伪装成与金融或商业相关的合法文件，使用合法应用程序的图标，如Microsoft Office。它创建一个空文件，并执行打开Microsoft Office Word文档的默认应用程序。

如果没有设置默认应用程序，则会显示错误消息。一旦执行，恶意软件就会通过创建互斥体和修改注册表项在系统上建立持久性。它还试图通过检查虚拟环境和采用模糊技术来逃避检测。

有效载荷交付和执行：

这种攻击的一个关键因素是使用shellcode。这允许恶意软件将其组件直接加载到内存中，绕过传统的基于文件的检测方法。然后，恶意软件与命令和控制（C2）服务器通信，以下载其他组件，包括核心ValleyRAT有效载荷。

根据FortiGuard Labs在周四发布之前与Hackread.com分享的博客文章，ValleyRAT恶意软件被归因于可疑的APT组织“Silver Fox”。它侧重于以图形方式监控用户活动，并向受害者系统提供插件和恶意软件。

规避技巧：

为了增加成功的机会，恶意软件采用了几种规避策略。这些包括禁用防病毒软件、修改注册表设置以阻碍安全应用程序，以及使用睡眠混淆来阻碍分析、逃避内存扫描程序并使用XOR操作对其外壳代码进行编码。

有效载荷能力：

核心ValleyRAT有效载荷赋予攻击者对受损系统的广泛控制。一旦进入系统，它就支持监视活动的命令，并提供任意插件来进一步实现威胁行为者的意图。

此外，ValleyRAT监控用户活动、窃取数据，并可能部署额外的恶意载荷。它通过一系列命令来实现这一点，包括加载插件、捕获屏幕截图、执行文件、操纵注册表以及控制重启、关闭和注销等系统功能。

这场运动针对中国用户的目标很明显，它使用了中文诱饵，并专注于躲避流行的中国反病毒产品。恶意软件的持久性和远程执行命令的能力使其对受影响的系统构成重大威胁。

原文始发于微信公众号（雾都的猫）：新的ValleyRAT恶意软件在多阶段攻击中针对中国Windows用户