Siber güvenlik araştırmacıları, kötü amaçlı yazılımın güncellenmiş bir sürümünü ortaya çıkardı. VadiRAT bu yeni bir kampanyanın parçası olarak dağıtılıyor.
Zscaler ThreatLabz araştırmacıları Muhammed Irfan VA ve Manisha Ramcharan Prajapati, “ValleyRAT, en son sürümde ekran görüntüleri yakalama, işlem filtreleme, zorla kapatma ve Windows olay günlüklerini temizleme gibi yeni komutlar ekledi.” dedi.
ValleyRAT, daha önce 2023 yılında QiAnXin ve Proofpoint tarafından, Purple Fox ve Gh0st RAT truva atının Sainbox RAT (aka FatalRAT) olarak bilinen bir çeşidi gibi çeşitli kötü amaçlı yazılım ailelerini dağıtan Çince konuşan kullanıcıları ve Japon kuruluşlarını hedef alan bir kimlik avı kampanyasıyla bağlantılı olarak belgelenmişti.
Kötü amaçlı yazılımın, hassas bilgileri toplama ve güvenliği ihlal edilmiş ana bilgisayarlara ek yükler bırakma yeteneklerine sahip, Çin merkezli bir tehdit aktörünün işi olduğu değerlendirildi.
Başlangıç noktası, aynı sunucudan “client.exe” dosyasının indirilmesinden sorumlu bir DLL dosyasını çıkarmak üzere kodu çözülmüş “NTUSER.DXM” adlı bir dosyayı getirmek için bir HTTP Dosya Sunucusu (HFS) kullanan bir indiricidir.
Şifresi çözülen DLL ayrıca analizden kaçınmak amacıyla Qihoo 360 ve WinRAR’daki kötü amaçlı yazılımdan koruma çözümlerini tespit etmek ve sonlandırmak için tasarlanmıştır; ardından indirici üç dosyayı daha almaya devam eder – “WINWORD2013.EXE”, “wwlib.dll” ve “xig.ppt” – HFS sunucusundan.
Daha sonra, kötü amaçlı yazılım, Microsoft Word ile ilişkili meşru bir yürütülebilir dosya olan “WINWORD2013.EXE”yi başlatıyor ve bunu “wwlib.dll” dosyasını dışarıdan yüklemek için kullanıyor, bu da sistemde kalıcılık sağlıyor ve “xig.ppt” dosyasını belleğe yüklüyor.
Araştırmacılar, “Buradan itibaren, şifresi çözülen ‘xig.ppt’, şifreyi çözecek ve kabuk kodunu svchost.exe’ye enjekte edecek bir mekanizma olarak yürütme sürecini sürdürüyor” dedi. “Kötü amaçlı yazılım, askıya alınmış bir işlem olarak svchost.exe dosyasını oluşturuyor, işlem içinde bellek ayırıyor ve buraya kabuk kodu yazıyor.”
Kabuk kodu, bir komuta ve kontrol (C2) sunucusuyla iletişim kurmak ve ValleyRAT yükünü bir DLL dosyası biçiminde indirmek için gerekli yapılandırmayı içerir.
Araştırmacılar, “ValleyRAT, kötü amaçlı operasyonların çoğunu gerçekleştiren son veri yükünü bir sisteme bulaştırmak için karmaşık, çok aşamalı bir süreç kullanıyor” dedi. “DLL yandan yüklemeyle birleştirilmiş bu aşamalı yaklaşım, muhtemelen EDR’ler ve anti-virüs uygulamaları gibi ana bilgisayar tabanlı güvenlik çözümlerinden daha iyi kaçınmak için tasarlandı.”
Bu gelişme, Fortinet FortiGuard Laboratuvarlarının, Ajan Tesla adı verilen bir keylogger ve bilgi çalıcının güncellenmiş bir sürümüyle İspanyolca konuşan insanları hedef alan bir kimlik avı kampanyasını ortaya çıkarmasıyla gerçekleşti.
Saldırı zinciri, bilinen güvenlik kusurlarından (CVE-2017-0199 ve CVE-2017-11882) yararlanan Microsoft Excel Eklentileri (XLA) dosya eklerinden yararlanarak tasarlanmış bir PowerShell betiğini yükleyen JavaScript kodunun yürütülmesini tetikler. Ajan Tesla’yı uzak bir sunucudan almak için bir yükleyici başlatmak.
Güvenlik araştırmacısı Xiaopeng Zhang, “Bu varyant, kurbanın cihazındaki kimlik bilgilerini ve e-posta kişilerini, verileri topladığı yazılımı ve kurbanın cihazının temel bilgilerini topluyor.” dedi. “Ajan Tesla, eğer kurban Thunderbird’ü e-posta istemcisi olarak kullanıyorsa, kurbanın e-posta kişilerini de toplayabilir.”