ValleyRAT nutzt fortschrittliche Taktiken, um chinesische Nutzer anzugreifen

ValleyRAT zielt auf chinesischsprachige Benutzer mithilfe fortschrittlicher Taktiken ab
Aug 16, 2024, von Ravie Lakshmanan

Chinesischsprachige Benutzer sind das Ziel einer laufenden Kampagne, die Malware namens ValleyRAT verbreitet.

“ValleyRAT ist eine Multi-Stage-Malware, die vielfältige Techniken nutzt, um ihre Opfer zu überwachen und zu kontrollieren sowie willkürliche Plugins zu implementieren, um weiteren Schaden anzurichten”, so die Forscher Eduardo Altares und Joie Salvio von Fortinet FortiGuard Labs.

“Eine weitere bemerkenswerte Eigenschaft dieser Malware ist ihr intensiver Einsatz von Shellcode, um ihre vielen Komponenten direkt im Speicher auszuführen und so ihre Dateisignatur im System des Opfers erheblich zu reduzieren.”

Details über die Kampagne tauchten erstmals im Juni 2024 auf, als Zscaler ThreatLabz Angriffe mit einer aktualisierten Version der Malware beschrieb.

Derzeit ist nicht bekannt, wie die neueste Version von ValleyRAT verteilt wird, obwohl frühere Kampagnen E-Mail-Nachrichten mit URLs enthielten, die auf komprimierte ausführbare Dateien verweisen.

Der Angriffsverlauf ist ein mehrstufiger Prozess, der mit einem Erststufen-Lader beginnt, der sich als legitime Anwendungen wie Microsoft Office tarnt, um harmlos zu erscheinen (z. B. “工商年报大师.exe” oder “补单对接更新记录txt.exe”).

Das Ausführen der ausführbaren Datei führt dazu, dass das Lockvogeldokument abgelegt wird und der Shellcode geladen wird, um in die nächste Phase des Angriffs überzugehen. Der Lader unternimmt auch Schritte, um zu validieren, dass er nicht in einer virtuellen Maschine läuft.

Der Shellcode ist dafür verantwortlich, ein Beaconding-Modul zu starten, das einen Command-and-Control (C2)-Server kontaktiert, um zwei Komponenten – RuntimeBroker und RemoteShellcode – herunterzuladen, während er die Persistenz im Host einrichtet und durch die Nutzung einer legitimen Binärdatei namens fodhelper.exe administrative Rechte erlangt und einen UAC-Bypass durchführt.

Die zweite Methode zur Privilegienerweiterung betrifft den Missbrauch der CMSTPLUA-COM-Schnittstelle, eine Technik, die zuvor von mit Avaddon-Ransomware verbundenen Bedrohungsakteuren übernommen wurde und auch in jüngsten Hijack-Loader-Kampagnen beobachtet wurde.

In einem weiteren Versuch, sicherzustellen, dass die Malware unbehindert auf dem Rechner läuft, konfiguriert sie Ausschlussregeln für den Microsoft Defender Antivirus und geht dazu über, verschiedene antivirusbezogene Prozesse basierend auf übereinstimmenden ausführbaren Dateinamen zu beenden.

Die Hauptaufgabe des RuntimeBrokers besteht darin, vom C2-Server eine Komponente namens Loader abzurufen, die genauso funktioniert wie der Erststufen-Lader und das Beaconding-Modul ausführt, um den Infektionsprozess zu wiederholen.

Das Loader-Payload weist auch einige charakteristische Eigenschaften auf, darunter Checks, ob es in einer Sandbox läuft, und das Scannen der Windows-Registry nach Schlüsseln, die mit Apps wie Tencent WeChat und Alibaba DingTalk verbunden sind, was die Hypothese verstärkt, dass die Malware ausschließlich chinesische Systeme anvisiert.

Auf der anderen Seite ist RemoteShellcode so konfiguriert, dass es den ValleyRAT-Downloader vom C2-Server abruft, der anschließend UDP- oder TCP-Sockets verwendet, um eine Verbindung zum Server herzustellen und die endgültige Nutzlast zu empfangen.

ValleyRAT, das einer Bedrohungsgruppe namens Silver Fox zugeschrieben wird, ist ein voll ausgestatteter Backdoor, der in der Lage ist, kompromittierte Arbeitsstationen fernzusteuern. Er kann Screenshots erstellen, Dateien ausführen und zusätzliche Plugins auf dem Opfersystem laden.

“Diese Malware umfasst mehrere in verschiedenen Phasen geladene Komponenten und nutzt hauptsächlich Shellcode, um sie direkt im Speicher auszuführen und so ihre Dateispur im System erheblich zu reduzieren”, sagten die Forscher.

“Sobald die Malware im System Fuß gefasst hat, unterstützt sie Befehle, die in der Lage sind, die Aktivitäten des Opfers zu überwachen und beliebige Plugins zur Förderung der Absichten der Bedrohungsakteure bereitzustellen.”

Diese Entwicklung erfolgt vor dem Hintergrund laufender Malspam-Kampagnen, die versuchen, eine alte Microsoft Office-Schwachstelle (CVE-2017-0199) auszunutzen, um bösartigen Code auszuführen und GuLoader, Remcos RAT und Sankeloader zu verteilen.

“CVE-2017-0199 wird immer noch angezielt, um die Ausführung von Remote-Code innerhalb einer XLS-Datei zu ermöglichen”, sagte Symantec, das zum Broadcom-Konzern gehört. “Die Kampagnen lieferten eine bösartige XLS-Datei mit einem Link, von dem aus eine remote HTA- oder RTF-Datei ausgeführt werden sollte, um die endgültige Nutzlast herunterzuladen.”

Folgen Sie uns auf Twitter und LinkedIn, um mehr exklusive Inhalte zu lesen, die wir veröffentlichen.

Quelle: https://ift.tt/GoDqNdj

Trending Posts

Über uns

MyCubeServer – Ihr vertrauenswürdiger Partner für fortschrittliche Cloud-Lösungen. Wir bieten maßgeschneiderte IT-Services und Datenschutz, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.”

“Bei MyCubeServer steht Innovation im Mittelpunkt. Unsere Expertise in Cloud-Technologie und Cybersicherheit macht uns zum perfekten Begleiter für Ihre digitale Transformation.”

“MyCubeServer – Wir gestalten die Zukunft Ihrer IT-Landschaft. Verlassen Sie sich auf unsere Erfahrung und modernste Lösungen für Ihre Unternehmensanforderungen.

Folge uns

-Weg von alten Schubladen-

Deine Chance -

Angesagtes

Newsletter

Kategorien

Edit Template

Produkte & Lösungen

SkySphere Cloud
SkySphere Connect
CubeSecurity
Support & Services

© 2023 MyCubeServer. Alle Rechte vorbehalten.
Datenschutzrichtlinien | AGB´sNutzungsbedingungen | Impressum