Araştırmacılar; Hong Kong, Tayvan ve Çin anakarası da dahil olmak üzere Çince konuşulan bölgelerdeki kuruluşları hedef alan bir dizi karmaşık siber saldırı bildirdi.
Bu saldırılar, ValleyRAT olarak tanımlanan kötü amaçlı yazılım yükünü sağlamak için PNGPlug olarak bilinen çok aşamalı bir yükleyiciyi kullanır.
Saldırı zinciri, kurbanları yasal yazılım gibi görünen kötü amaçlı bir Microsoft Installer (MSI) paketini indirmeye teşvik eden bir kimlik avı web sayfasıyla başlıyor.
Yürütmenin ardından bu yükleyici iki önemli eylem gerçekleştirir:
- Meşruiyet yanılsaması yaratmak için zararsız bir uygulama kullanıyor.
- Kötü amaçlı yazılım yükünü içeren şifrelenmiş bir arşivi çıkarır.
MSI paketi, kötü amaçlı kod yürütmek için Windows Installer’ın CustomAction özelliğini kullanır.
Buna, arşivin şifresini çözen gömülü kötü amaçlı bir DLL’nin çalıştırılması da dahildir (all.zip) sabit kodlu şifreyi kullanarak hello202411sonuçta aşağıdakiler gibi temel kötü amaçlı yazılım bileşenlerini ayıklıyor:
- libcef.dll: Boyutunu 220 MB’a çıkaracak şekilde doldurulmuş yükleyici, genellikle daha büyük dosyaların analizini atlayan güvenlik araçlarının tespitinden kaçmasına yardımcı olur.
- down.exe: Kötü amaçlı yazılımın etkinliklerini maskelemek için kullanılan meşru bir uygulama.
- out.png Ve view.png: Kodlanmış kötü amaçlı yükler içeren PNG görüntüleri gibi görünen dosyalar.
PNGPlug Yükleyicinin Rolü
Intezer raporuna göre, PNGPlug yükleyicisinin (libcef.dll) birincil işlevi, birkaç adım aracılığıyla kötü amaçlı yazılımların çalıştırılmasına olanak sağlayan bir ortam oluşturmaktır:
Aşağıdaki tablo, komut satırı bağımsız değişkeni ayrıştırma, bellek ekleme yetenekleri ve virüsten koruma algılama mekanizmaları dahil olmak üzere yükleyicinin temel işlevlerini özetlemektedir.
| İşlevsellik | Tanım |
|---|---|
| Ntdll.dll dosyasının düzeltilmesi | Bellek enjeksiyon yeteneklerini etkinleştirir. |
| Komut Satırında Bağımsız Değişken Ayrıştırma | – Eğer /aut argüman mevcut:– XOR şifrelemesini kullanarak bir kayıt defteri yolunun şifresini çözer. – Yolunu yazar down.exe kayıt defterine.– İçeriği enjekte eder aut.png hafızaya.– Eğer /aut yok:– Yürütür down.exe belirtilen argümanla. |
| Anti-Virüs Tespiti | – Belirli bir güvenlik yazılımının (örn. 360 Total Security) varlığını kontrol eder. – Yok ise haritalar view.png yeni bir işlem oluşturmak için belleğe (colorcpl.exe), içeriğini enjekte ediyor.– Bu süreç ValleyRAT kötü amaçlı yazılımını çalıştırırken gözlemlendi. |
Kötü amaçlı yükler için .png dosya uzantılarının kullanılması, PNGPlug ismine ilham veren önemli bir gizlilik taktiğidir.
Bu PNG dosyaları, yüklerini yürütürken tespitten kaçma yeteneklerini geliştiren, özellikle belirlenen uzaklıklara yerleştirilmiş PE yürütülebilir dosyaları olmak üzere ek veriler içerir.
ValleyRAT Kötü Amaçlı Yazılım Ayrıntıları
ValleyRAT, Çince konuşan bireyleri ve kuruluşları hedef alan casusluk ve siber suç faaliyetleriyle tanınan Silver Fox APT’ye atfedilen gelişmiş bir uzaktan erişim truva atıdır (RAT). Kötü amaçlı yazılım aşağıdaki gibi gelişmiş teknikleri kullanır:
- Kabuk Kodu Yürütme: Dosya ayak izlerini en aza indirmek ve tespitten kaçınmak için bileşenleri doğrudan bellekte çalıştırmak.
- Gizleme ve Ayrıcalığın Arttırılması: Yükseltilmiş erişim elde ederken kötü amaçlı etkinlikleri gizleme.
- Kalıcılık Mekanizmaları: Etkilenen sistemler üzerinde kontrolü sürdürmek için zamanlanmış görevleri ve kayıt defteri değişikliklerini kullanmak.
Kötü amaçlı yazılımın operasyonel aşamaları, ilk çalıştırmayı, gizlenmiş kabuk kodunun konuşlandırılmasını ve komuta ve kontrol (C2) sunucularından ek kötü amaçlı bileşenleri alan bir yükleyici modülünü içerir.
Investigate Real-World Malicious Links & Phishing Attacks With ANY.RUN Malware Sandbox - Try 14 Days Free Trial
IOC’ler
156.247.33[.]53
- 08dad42da5aba6ef48fca27c783f78f06ab9ea7a933420e4b6b21e12e550dd7d
- 33bc111238a0c6f10f6fe3288b5d4efe246c20efd8d85b4fe88f7d602d70738e
- 50a64e97c6a5417023f3561f33291b448ce830a4d99c40356af67301c8fa7523
- 6d4dd4334791c91bb09e7a91dd5c450b2c6e3348a5586de011c54ce3f473f619
- 76fc76dc651c3cc9d766a6ad8a90f605326463bc4cb2f8f053d44dfbc913beee
- ad23f5c9bab137dc24343fc410f7587885aab6772dee5e75a216ed579c6ee420
- c497506fe2df57c39fcf92398f4864ca4bfcb1a6f2f80c3c520166bc61882855
- E49b085f5484531395b5a7903f004b2a02a2b4ebfa46116d1a665ba881b1f528
- c636120749b49f47fc8d42409ead6c51ea44bc40c815370997ca63f48acdf002
- 79acdca5247ca9719f2f3a34c7942cd60b209f7b616efa5dd81e6656a8baf9a5
- 70facc8ad5db172e235b4cc720a0edaedd4470b8a6ec5da8dee2758f4a1aafef
- e9e4751c88d3a1a4bfdd5d07bb35636787b0d6fbf68b17642d3fe03cbe5ebf70
- de8a0da702a491f610b9e85050d8641cadf4ed84edf4d151f94335b0d78d6636
- 6d2a4d9e2fc6e4dac2c426851b4bdf86dd63a5515d8d853e622a0bc01d250ce9
- 4a68bdfa3e31a8c063bbf94469160eb7998a556027d5ad33f37c347a71c2d3a4
- 7c31c4d0308fb1d67f6af48a76138a9db19f494c1e9a12debdcca7382ad5418c
- 5f9a5ad43a9f79976cd7014ce072429ef2edbae872b4226372cfb07d8a86b8a5
- 3ac3ca18142a935608cb0d2c8d6421ebb9abc30bce93f094447b9c3f63fe791b
- 9d97f3f55bc647911e14a36c83f263e91662cf9d13a2fc3ec7c92dedb8977d37
- c070749f95aeeefcd1c3a875c1b8e77b57cad0c8338436af9a3c9e1323fd4e11
- 7eaed6fa867875119c3ebb40aa24716d91fdbccb2106fa4708ff0637920a920c
- fa26722e99763a29af160fae64183a47a57362b666753624b78e954c8cde0525
- 9aa51d1c82fdbc8f0f27340180bd40faa7e76b8ac6d204b2d3548cfd0897d805
- 58416315c61ed5cb2c754244ed5c081963dabf3e698b04226a00f978cd913e84
- f2f96e5ac1b4bd6cac49c71ca2010dcbe5751757483520cfc7dddf4fb7186044
45.195.148[.]107
- 46af73560cafff5c8bbc16980d01641af0de3b689bc248dfb52afcf3a8a76a55
- 7bff2404c2816c4e1576d449820f01e3f46e7c972beb1843e3b8da2e065f8dc3
- 94ff4679dd5aec7874354c14132701ecdfbbb558c6011e4952d13bf843255529
- Ae6d88ea99e530f778ee6088862b50dfb6e8bb45857211e9105428c57c2a7b4a
- 9aea0fdfead2e956bc0b4574c2b4cb2855dd9df6a5fd61d350f3285d249adfca
Yükleyicinin ilk aşaması:
- c5d5054047a12efc68a67abd8f15069a853dd09800cd39d68df5a27702b45334
- a97371df7d51fe0aee1d54b5b233a1713f69224802b1da35337a3041788990e6
- 4b6bf40dc331c89e416ef012a6dc4f55c83136197be7115246b42e4f7a828baa
- 30147b6691e5bc1a15c76cebf81b2de77d9099e8200b6ed9742c6e3b36505f34
- 9bd53057c8905d508374698e2595301f0be1529ec4ebfa71c09ad0c01a562982
- 4d64c2d1ae0de0f3066a6c020ab7aa5a9dd487c0cf1ff1ca2e93d98ff30e039f
- 99fb7a40dbf6a042bcb77f67a5a76fe03ec3c6820ac5e15cb009795d545152ea
- d9e939f904a1cddf5fb8ffba14acbfe227ed5dfc4990b52a44d4dfd0baa6de4e
- 0b33f08bc2917c4825c053754fc88e16b35d1a8fff4135595b265a4c6f850250
- cd347b9f558cf024df1dbb62ed7a0d72a2edc04b1330058cfa1baf4fc3894e03
- 8aa28f35dbafc18a37b07fd15bb599e3c8de5b692117f1c6fd491bd03028a423
- d51db234d0236cd0dbfcf13adc33387f10920011537815d188eff012872e30be
- d0ce85ec31053478c67e4f53ca2ef9b7b1f0fda74621c9c7c8c1612772ca778c
- 504d7714419931f80b734e212a9431ec98887c56ade8966c4d7cae58b28d49ca
- 16bb3968e1112b63fef8a4e7bda9d021dfef6fd1955fdfa677545535a14a65b4
- 659ede632d3bfc28d143c144fdba34d08b21c4f97ce6c9dc1fcd4d2bf5cc25e3
- 463c9704fb009cd13e0ef50fa7d5035aa5f35b4841fe75ecab5c4a276601f837
- 3fc35cab1272f769af309cb46375e21680f13d629181c7646cb0cf2c9b2e72e7
- 517b43bf057877727387316d8538dc07599856eb428d43f512e89964a5dfb331
- e54ce9939679c691dc5719e309a8d541183b6672269fd61013109ef0d8509b1e