Ένα νέο κύμα επιθέσεων χρησιμοποιεί το κακόβουλο λογισμικό ValleyRAT_S2 για να εισβάλει αθόρυβα σε οργανισμούς, να παραμείνει κρυφό για μεγάλα χρονικά διαστήματα και να κλέψει ευαίσθητες οικονομικές πληροφορίες.
Το ValleyRAT_S2 είναι το ωφέλιμο φορτίο δεύτερου σταδίου της οικογένειας ValleyRAT και είναι γραμμένο σε C++. Μόλις εισέλθει σε ένα δίκτυο, συμπεριφέρεται σαν ένας πλήρης trojan απομακρυσμένης πρόσβασης, δίνοντας στους εισβολείς ισχυρό έλεγχο σε μολυσμένα συστήματα και έναν αξιόπιστο τρόπο μετακίνησης δεδομένων.
Η τρέχουσα καμπάνια εξαπλώνεται κυρίως μέσω ψεύτικων εργαλείων παραγωγικότητας στην κινεζική γλώσσα, σπασμένου λογισμικού και τροϊκανοποιημένων προγραμμάτων εγκατάστασης που παρουσιάζονται ως γεννήτριες υπολογιστικών φύλλων που βασίζονται σε τεχνητή νοημοσύνη.
Σε πολλές περιπτώσεις, το κακόβουλο λογισμικό παραδίδεται μέσω πλευρικής φόρτωσης DLL, όπου μια νόμιμη υπογεγραμμένη εφαρμογή εξαπατάται για να φορτώσει ένα κακόβουλο DLL που ονομάζεται όπως μια κανονική βιβλιοθήκη, όπως το steam_api64.dll.
Μετά την παρακολούθηση αυτών των λειτουργιών, η APOPHiS αναγνώρισε το ValleyRAT_S2 ως την κύρια κερκόπορτα δεύτερου σταδίου που οδηγεί αυτές τις εισβολές.
Το κακόβουλο λογισμικό φθάνει επίσης μέσω συνημμένων ψαρέματος και κατάχρησης καναλιών ενημέρωσης λογισμικού.
Κακόβουλα έγγραφα και αρχεία ρίχνουν ωφέλιμα φορτία σε τοποθεσίες όπως ο φάκελος Temp, για παράδειγμα:-
C:\Users\Admin\AppData\Local\Temp\AI自动化办公表格制作生成工具安装包\steam_api64.dll.
Από εκεί, το Στάδιο 1 εστιάζει στην φοροδιαφυγή, ενώ η ValleyRAT_S2 αναλαμβάνει τον μακροπρόθεσμο έλεγχο, την ανακάλυψη συστήματος, την κλοπή διαπιστευτηρίων και τη συλλογή οικονομικών δεδομένων.
.webp.jpeg "Η ValleyRAT_S2 επιτίθεται σε οργανισμούς για την ανάπτυξη κρυφού κακόβουλου λογισμικού και την εξαγωγή οικονομικών λεπτομερειών")
Μόλις ενεργοποιηθεί, το ValleyRAT_S2 σαρώνει διεργασίες, συστήματα αρχείων και κλειδιά μητρώου και, στη συνέχεια, προσεγγίζει διακομιστές εντολών και ελέγχου με σκληρό κώδικα, όπως ο 27.124.3.175:14852 μέσω ενός προσαρμοσμένου πρωτοκόλλου TCP. Μπορεί να ανεβάζει και να κατεβάζει αρχεία, να εκτελεί εντολές φλοιού, να εισάγει ωφέλιμα φορτία και να καταγράφει πατήματα πλήκτρων.
Αυτό το καθιστά κατάλληλο για τη συλλογή διαπιστευτηρίων ηλεκτρονικής τραπεζικής, δεδομένων πληρωμών και εσωτερικών οικονομικών εγγράφων.
Επιμονή και συμπεριφορά φύλακα
Ένα από τα πιο επικίνδυνα μέρη του ValleyRAT_S2 είναι η πολυεπίπεδη εμμονή και ο σχεδιασμός του φύλακα, που το βοηθά να επιβιώνει από επανεκκινήσεις και χειροκίνητο καθαρισμό.
Το κακόβουλο λογισμικό σταδιοποιεί πρώτα τα αρχεία στις διαδρομές Temp και AppData του χρήστη, δημιουργώντας δείκτες όπως %TEMP%\target.pid και διαδρομές διαμόρφωσης στο %APPDATA%\Promotions\Temp.aps.
Επίσης, κάνει κατάχρηση του Προγραμματιστή εργασιών των Windows μέσω των API COM για να επανεκτελείται κατά την εκκίνηση και μπορεί να χρησιμοποιεί κλειδιά εκτέλεσης μητρώου για διαδρομές εκκίνησης αντιγράφων ασφαλείας.
.webp.jpeg "Η ValleyRAT_S2 επιτίθεται σε οργανισμούς για την ανάπτυξη κρυφού κακόβουλου λογισμικού και την εξαγωγή οικονομικών λεπτομερειών")
Ένα βασικό χαρακτηριστικό είναι ένα σενάριο παρτίδας που δημιουργείται, το monitor.bat, το οποίο λειτουργεί ως βρόχος παρακολούθησης.
Το σενάριο διαβάζει το αποθηκευμένο αναγνωριστικό διεργασίας από το target.pid, ελέγχει αν η κύρια διαδικασία κακόβουλου λογισμικού εξακολουθεί να εκτελείται και την επανεκκινεί σιωπηλά εάν χρειάζεται.
Μια απλοποιημένη έκδοση μοιάζει με αυτό:
@echo off
set "PIDFile=%TEMP%\target.pid"
set /p pid=nul
if errorlevel 1 (
cscript //nologo "%TEMP%\watch.vbs"
exit
)
timeout /t 15 >nul
goto checkΑυτός ο βρόχος επιτρέπει στο ValleyRAT_S2 να ανακτήσει εάν τα εργαλεία ασφαλείας ή οι διαχειριστές σκοτώσουν την κύρια διαδικασία. Σε συνδυασμό με τον δομημένο χειρισμό εξαιρέσεων, τους ελέγχους sandbox και την ένεση διεργασιών σε αξιόπιστα ονόματα όπως το Telegra.exe και το WhatsApp.exe, το κακόβουλο λογισμικό διατηρεί μια ήσυχη αλλά ισχυρή παρουσία.
Για τους υπερασπιστές, αυτό σημαίνει ότι η απλή διαδικασία θανάτωσης δεν αρκεί. Η πλήρης κατάργηση πρέπει να στοχεύει τις προγραμματισμένες εργασίες, τα σενάρια παρακολούθησης δέσμης και VBS, τα σταδιακά αρχεία και τη διαδικασία backdoor ταυτόχρονα.
