Το κακόβουλο λογισμικό ValleyRAT χρησιμοποιεί την εγκατάσταση Stealthy Driver για να παρακάμψει τις προστασίες των Windows 11

Το ValleyRAT, γνωστό και ως Winos ή Winos4.0, έχει αναδειχθεί ως ένα από τα πιο εξελιγμένα backdoors που στοχεύουν οργανισμούς παγκοσμίως.

Αυτή η αρθρωτή οικογένεια κακόβουλου λογισμικού αντιπροσωπεύει μια σημαντική απειλή για τα συστήματα Windows, ιδιαίτερα τις εγκαταστάσεις των Windows 11 που εκτελούν τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας.

Το τοπίο απειλών έχει αλλάξει δραματικά μετά τη δημόσια διαρροή του δημιουργού ValleyRAT και της δομής ανάπτυξής του, καθιστώντας το κακόβουλο λογισμικό προσβάσιμο σε ένα ευρύτερο φάσμα παραγόντων απειλών πέρα ​​από τις κινεζόφωνες ομάδες που σχετίζονται ιστορικά με την ανάπτυξή του.

Οι φορείς επίθεσης του κακόβουλου λογισμικού είναι ιδιαίτερα ανησυχητικοί επειδή λειτουργούν σε πολλαπλά επίπεδα συστήματος. Το ValleyRAT είναι ένας ολοκληρωμένος trojan απομακρυσμένης πρόσβασης που μπορεί να αναπτύξει διάφορα πρόσθετα για να θέσει σε κίνδυνο τα συστήματα των θυμάτων.

Η αρχική μόλυνση ξεκινά συνήθως με προσθήκες πρώτου σταδίου, όπως η ηλεκτρονική μονάδα ή η μονάδα σύνδεσης, που λειτουργούν ως φάροι στον διακομιστή εντολών και ελέγχου.

Αυτά τα αρχικά στάδια ανακτούν και φορτώνουν πρόσθετα εξειδικευμένα πρόσθετα, επιτρέποντας στους χειριστές να επεκτείνουν σταδιακά τη θέση τους σε παραβιασμένα δίκτυα.

Ο εισβολέας καθορίζει ποια θύματα δικαιολογούν την ανάπτυξη πιο προηγμένων στοιχείων, πράγμα που σημαίνει ότι πολλά μολυσμένα συστήματα λαμβάνουν μόνο βασικές λειτουργίες. Η αρχιτεκτονική δείχνει μια εξελιγμένη κατανόηση των εσωτερικών στοιχείων των Windows.

Αναλυτές ασφαλείας Check Point αναγνωρισθείς ότι οι προγραμματιστές του κακόβουλου λογισμικού διαθέτουν βαθιά γνώση των μηχανισμών λειτουργίας πυρήνα και λειτουργίας χρήστη, αποκαλύπτοντας μια στενά συντονισμένη ομάδα ανάπτυξης αντί για χαλαρά συναρμολογημένους συντελεστές.

Η συνέπεια μεταξύ των διαφορετικών ενοτήτων υποδηλώνει μια μικρή, εξειδικευμένη ομάδα με προηγμένες δυνατότητες αντίστροφης μηχανικής.

Ο μηχανισμός του πυρήνα Rootkit

Το πιο ανησυχητικό στοιχείο είναι το ενσωματωμένο πρόγραμμα οδήγησης rootkit σε λειτουργία πυρήνα της ValleyRAT, που περιέχεται στην προσθήκη προγράμματος οδήγησης.

Αυτό το rootkit μπορεί να διατηρήσει έγκυρες υπογραφές και να μπορεί να φορτωθεί σε πλήρως ενημερωμένα συστήματα Windows 11, παρακάμπτοντας ουσιαστικά τις σύγχρονες δυνατότητες προστασίας.

Η τεχνική αντιπροσωπεύει ένα πραγματικό κενό ασφαλείας που αφορά τους υπερασπιστές παγκοσμίως.

Οι ερευνητές του Check Point διαπίστωσαν ότι περίπου το 85 τοις εκατό των ανιχνευθέντων δειγμάτων ValleyRAT παρατηρήθηκαν τους τελευταίους έξι μήνες, κάτι που σχετίζεται άμεσα με τη δημόσια κυκλοφορία του κατασκευαστή.

Το rootkit υλοποιεί μυστικές δυνατότητες εγκατάστασης προγραμμάτων οδήγησης σε συνδυασμό με έγχυση κελύφους σε λειτουργία χρήστη μέσω κλήσεων ασύγχρονης διαδικασίας.

Το κακόβουλο λογισμικό διαγράφει αναγκαστικά προγράμματα οδήγησης εντοπισμού ιών και τελικών σημείων και απόκρισης από συστήματα, στοχεύοντας συγκεκριμένα λύσεις ασφαλείας από προμηθευτές όπως το Qihoo 360, το Huorong Security, το Tencent και το Kingsoft Corporation.

Αυτή η επιθετική αφαίρεση των εργαλείων ασφαλείας δημιουργεί ένα μη ασφαλές περιβάλλον όπου ο εισβολέας μπορεί να λειτουργεί ελεύθερα.

Η δημόσια διαθεσιμότητα του κατασκευαστή και της δομής ανάπτυξης μεταμορφώνει θεμελιωδώς το τοπίο της απειλής.

Η απόδοση γίνεται ολοένα και πιο περίπλοκη αφού οποιοσδήποτε παράγοντας μπορεί πλέον να μεταγλωττίσει, να τροποποιήσει και να αναπτύξει ανεξάρτητα το ValleyRAT.

Η μετάβαση από μια απειλή που συνδέεται με τους ηθοποιούς σε ένα ανοιχτά διαθέσιμο πλαίσιο κακόβουλου λογισμικού σηματοδοτεί ότι η μελλοντική δραστηριότητα πιθανότατα θα επιταχυνθεί, με περισσότερες ομάδες απειλών να πειραματίζονται με το εργαλείο που έχει διαρρεύσει.

Οι οργανισμοί πρέπει να εφαρμόζουν ισχυρά συστήματα ανίχνευσης και να διατηρούν ενημερωμένα μέτρα ασφαλείας για την αντιμετώπιση αυτής της εξελισσόμενης απειλής.