Siber güvenlik araştırmacıları, ValleyRAT adı verilen bilinen bir kötü amaçlı yazılımla Hong Kong, Tayvan ve Çin Anakarası gibi Çince konuşulan bölgeleri hedef alan bir dizi siber saldırıya dikkat çekiyor.
Intezer, geçen hafta yayınlanan teknik bir raporda, saldırıların ValleyRAT yükünü sağlamak için PNGPlug adlı çok aşamalı bir yükleyiciden yararlandığını söyledi.
Bulaşma zinciri, kurbanları meşru yazılım gibi görünen kötü amaçlı bir Microsoft Installer (MSI) paketini indirmeye teşvik etmek için tasarlanmış bir kimlik avı sayfasıyla başlıyor.
Yükleyici yürütüldükten sonra şüphe uyandırmayı önlemek için zararsız bir uygulama dağıtır ve aynı zamanda kötü amaçlı yazılım yükünü içeren şifrelenmiş bir arşivi gizlice çıkarır.
Güvenlik araştırmacısı, “MSI paketi, Windows Installer’ın CustomAction özelliğini kullanıyor ve kötü amaçlı kod yürütmesine olanak tanıyor; buna, temel kötü amaçlı yazılım bileşenlerini ayıklamak için ‘hello202411’ sabit kodlu bir parola kullanarak arşivin (all.zip) şifresini çözen gömülü kötü amaçlı bir DLL çalıştırmak da dahil.” Nicole Fishbein dedi.
Bunlar arasında sahte bir DLL (“libcef.dll”), kötü amaçlı etkinlikleri gizlemek için kapak olarak kullanılan meşru bir uygulama (“down.exe”) ve PNG görüntüleri gibi görünen iki yük dosyası (“aut.png” ve “) yer alır. view.png”).
DLL yükleyicisi PNGPlug’ın temel amacı, Windows Kayıt Defteri değişiklikleri yapıp ValleyRAT’ı çalıştırarak kalıcılığı sağlamak için belleğe “aut.png” ve “view.png” enjekte ederek ana kötü amaçlı yazılımın çalıştırılmasına ortam hazırlamaktır, sırasıyla.
2023’ten bu yana yaygın olarak tespit edilen ValleyRAT, saldırganlara virüslü makinelere yetkisiz erişim ve kontrol olanağı sağlayan bir uzaktan erişim truva atıdır (RAT). Kötü amaçlı yazılımın son sürümleri, ekran görüntüleri yakalamaya ve Windows olay günlüklerini temizlemeye yönelik özellikler içeriyor.
Winos 4.0 adı verilen bir komuta ve kontrol (C&C) çerçevesinin kullanılması nedeniyle Void Arachne adlı başka bir faaliyet kümesiyle de taktiksel örtüşmeleri paylaşan Silver Fox adlı bir tehdit grubuyla bağlantılı olduğu değerlendiriliyor.
Kampanya, Çince konuşan demografiye odaklanması ve saldırı zincirini etkinleştirmek için yazılımla ilgili yemlerin kullanılması nedeniyle benzersizdir.
Fishbein, “Saldırganların kötü amaçlı yazılımları dağıtma mekanizması olarak meşru yazılımları sofistike bir şekilde kullanması ve kötü niyetli faaliyetleri görünüşte zararsız uygulamalarla sorunsuz bir şekilde harmanlaması da aynı derecede çarpıcıdır.” dedi.
“PNGPlug yükleyicinin uyarlanabilirliği, tehdidi daha da artırıyor çünkü modüler tasarımı, birden fazla kampanyaya göre uyarlanmasına olanak tanıyor.”