Çince konuşan kullanıcılar, ValleyRAT adı verilen kötü amaçlı yazılımı dağıtan devam eden bir kampanyanın hedefi haline geldi.
Fortinet FortiGuard Labs araştırmacıları Eduardo Altares ve Joie Salvio, “ValleyRAT, kurbanlarını izlemek ve kontrol etmek için çeşitli teknikler kullanan ve daha fazla hasara yol açmak için keyfi eklentiler dağıtan çok aşamalı bir kötü amaçlı yazılımdır” dedi.
“Bu kötü amaçlı yazılımın bir diğer dikkat çekici özelliği, birçok bileşenini doğrudan bellekte yürütmek için yoğun bir şekilde kabuk kodu kullanması ve bu sayede kurbanın sistemindeki dosya ayak izini önemli ölçüde azaltmasıdır.”
Kampanyaya ilişkin detaylar ilk olarak Haziran 2024’te Zscaler ThreatLabz’ın kötü amaçlı yazılımın güncellenmiş bir sürümünü içeren saldırıları ayrıntılı olarak açıklamasıyla ortaya çıktı.
ValleyRAT’ın son sürümünün tam olarak nasıl dağıtıldığı henüz bilinmiyor; ancak daha önceki kampanyalarda sıkıştırılmış yürütülebilir dosyalara işaret eden URL’ler içeren e-posta mesajlarından yararlanılmıştı.
Saldırı dizisi, Microsoft Office gibi meşru uygulamaları taklit ederek zararsız görünmelerini sağlayan birinci aşama bir yükleyiciyle başlayan çok aşamalı bir süreçtir (örneğin, “Endüstriyel ve Ticari Yıllık Rapor Master.exe” veya “Tamamlayıcı Sipariş Yerleştirme Güncelleme Kaydı txt) .exe” ).
Yürütülebilir dosyayı başlatmak, sahte belgenin bırakılmasına ve saldırının bir sonraki aşamasına geçmek için kabuk kodunun yüklenmesine neden olur. Yükleyici ayrıca sanal bir makinede çalışmadığını doğrulamak için adımlar atar.
Kabuk kodu, iki bileşeni (RuntimeBroker ve RemoteShellcode) indirmek için bir komut ve kontrol (C2) sunucusuyla iletişim kuran bir işaretleme modülünü başlatmaktan, ana bilgisayarda kalıcılığı ayarlamaktan ve fodhelper.exe adlı meşru bir ikili dosyayı kullanarak yönetici ayrıcalıkları elde etmekten ve bir UAC atlatmaktan sorumludur.
Ayrıcalık yükseltme için kullanılan ikinci yöntem, Avaddon fidye yazılımına bağlı tehdit aktörleri tarafından daha önce de benimsenen ve son Hijack Loader saldırılarında da gözlemlenen bir teknik olan CMSTPLUA COM arayüzünün kötüye kullanılmasıyla ilgilidir.
Kötü amaçlı yazılımın makinede engellenmeden çalışmasını sağlamak için Microsoft Defender Antivirus’a dışlama kuralları yapılandırır ve eşleşen yürütülebilir dosya adlarına göre çeşitli antivirüsle ilgili işlemleri sonlandırır.
RuntimeBroker’ın birincil görevi, C2 sunucusundan Loader adlı bir bileşeni almaktır. Bu bileşen, birinci aşama yükleyiciyle aynı şekilde çalışır ve enfeksiyon sürecini tekrarlamak için işaretleme modülünü çalıştırır.
Loader yükü ayrıca, bir sanal alanda çalışıp çalışmadığını kontrol etmek ve Tencent WeChat ve Alibaba DingTalk gibi uygulamalarla ilgili anahtarlar için Windows Kayıt Defterini taramak gibi bazı belirgin özellikler de sergiliyor ve bu da kötü amaçlı yazılımın yalnızca Çinli sistemleri hedef aldığı hipotezini destekliyor.
Öte yandan RemoteShellcode, ValleyRAT indiricisini C2 sunucusundan almak üzere yapılandırılmıştır; bu da daha sonra sunucuya bağlanmak ve son yükü almak için UDP veya TCP soketlerini kullanır.
Silver Fox adlı bir tehdit grubuna atfedilen ValleyRAT, tehlikeye atılmış iş istasyonlarını uzaktan kontrol edebilen tam özellikli bir arka kapıdır. Ekran görüntüleri alabilir, dosyaları yürütebilir ve kurban sistemine ek eklentiler yükleyebilir.
Araştırmacılar, “Bu kötü amaçlı yazılım, farklı aşamalarda yüklenen çeşitli bileşenleri içeriyor ve bunları doğrudan bellekte yürütmek için çoğunlukla kabuk kodunu kullanıyor, bu da sistemdeki dosya izini önemli ölçüde azaltıyor” dedi.
“Kötü amaçlı yazılım sistemde bir yer edindiğinde, kurbanın faaliyetlerini izleyebilen ve tehdit aktörlerinin niyetlerini ilerletmek için keyfi eklentiler sunabilen komutları destekler.”
Gelişme, eski bir Microsoft Office güvenlik açığını (CVE-2017-0199) istismar ederek kötü amaçlı kod yürütmeyi ve GuLoader, Remcos RAT ve Sankeloader’ı dağıtmayı deneyen devam eden kötü amaçlı yazılım spam kampanyalarının ortasında geldi.
Broadcom’a ait Symantec, “CVE-2017-0199 hala bir XLS dosyasından uzaktan kodun yürütülmesine izin vermeyi hedefliyor,” dedi. “Kampanyalar, nihai yükü indirmek için uzaktan bir HTA veya RTF dosyasının yürütüleceği bir bağlantıya sahip kötü amaçlı bir XLS dosyası teslim etti.”