- 惡意程式 ValleyRAT 多階段攻擊手法鎖定中文用戶

名為 ValleyRAT 的惡意軟體,正持續對中文用戶進行攻擊。

資安研究人員指出,多階段攻擊軟體 ValleyRAT 運用各種技巧來監控和操控受害者,還能植入外掛程式造成重大傷害。另外值得注意的是,這個惡意程式大量使用 shellcode,直接在電腦記憶體中執行多個外掛程式,大幅減少檔案在受害者系統中留下足跡。

該軟體的攻擊手法最早在2024年6月揭露,但由於沒有相關郵件樣本,目前還不清楚最新版 ValleyRAT的確切散播方式,但該惡意軟體曾透過電子郵件,發送壓縮檔執行連結進行攻擊。

此攻擊分階段進行,第一階段的 first-stage loader 會先偽裝成無害的 Microsoft Office等合法程式 (例: 工商年報大師.exe 或 補單對接更新紀錄txt.exe)。檔案執行後會載入 shellcode 進入下一階段攻擊,同時確認它並非在虛擬機中運行。

該惡意程式隨後會啟動一個信標模組,連線到駭客的 C2伺服器下載兩個組件:RuntimeBroker 和RemoteShellcode。同時利用名為 fodhelper.exe 的合法 Windows 程式來取得系統管理員權限,藉此繞過使用者帳戶控制(UAC)機制的防護。

另一種提升權限的方法是濫用 CMSTPLUA COM介面,該技術曾被用於 Avaddon勒索軟體,也出現在在近期的 Hijack Loader攻擊中。為了確保惡意軟體能在電腦上順利運作,該攻擊為 Windows Defender防毒軟體設定排除規則,並根據執行檔名稱來關閉各種防毒相關的程序。

RuntimeBroker 的主要任務是從駭客的 C2伺服器取得Loader組件,除了執行與第一階相同的攻擊過程,還會檢查攻擊程式是否運作於沙箱,並掃描 Windows登錄檔中與LINE、微信和釘釘等程式,更佐證這個惡意程式是針對中文使用者所設計的推論。

另一方面,RemoteShellcode 負責從駭客的 C2 伺服器下載 ValleyRAT ,並透過 UDP 或 TCP 協定與伺服器連線以執行最終階段。這種多階段的攻擊方式,讓攻擊者能更靈活地控制惡意程式的傳播與執行。

ValleyRAT 是一款功能強大的後門程式,可以遠端操控被駭的電腦。功能包含螢幕擷取、執行檔案,以及在受害者的系統上植入惡意外掛程式,讓駭客全面掌控受害者的電腦,造成嚴重的資安威脅。

本文轉載自TheHackerNews。

新聞來源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11198&mod=1
發布日期:2024/8/23