ANY’deki araştırmacılar.KOŞMAK örtüsüz Çince konuşan kullanıcıları hedef alan karmaşık bir saldırı. Saldırı, ValleyRAT olarak bilinen çok aşamalı kötü amaçlı yazılımı yayıyor. Bu yazılım, sistemlere sızmak ve saldırganların enfekte cihazları izlemesine ve kontrol etmesine olanak tanıyan kalıcı arka kapılar kurmak için tasarlanmıştır.
Kurulduktan sonra, VadiRAT yeteneklerini genişletmek ve daha fazla hasara yol açmak için ek eklentiler kullanır; bunlara veri sızdırma, fidye yazılımı saldırıları veya botnet oluşturma dahildir.
Çince konuşan bireylerin ve kuruluşların güvenliği için ciddi bir tehdit oluşturuyor ve bu tür karmaşık saldırılara karşı güçlü siber güvenlik önlemlerinin alınması ve dikkatli olunması gerekliliğini vurguluyor.
Çince konuşan kullanıcıları hedef alan bir siber saldırı tespit edildi. Saldırıda, ValleyRAT adlı kötü amaçlı yazılımı içeren sıkıştırılmış yürütülebilir dosyalara bağlantı veren kötü amaçlı URL’ler içeren e-posta mesajları kullanılıyor. ValleyRAT adlı kötü amaçlı yazılım, doğrudan bellekte yürütülerek tespit edilmekten kaçınabilen gelişmiş bir tehdit.
ValleyRAT’in yetenekleri arasında kalıcılık ve ayrıcalık yükseltme yer alır ve bu da tehlikeye atılmış sistemlerde tutunmasını ve hassas verilere yetkisiz erişim elde etmesini sağlar. İlk olarak Haziran 2024’te gözlemlenen kampanya, tespitten kaçınmak ve etkisini artırmak için rafine tekniklerle gelişmeye devam ediyor.
Saldırı zinciri, meşru bir uygulama gibi görünen kötü amaçlı bir yürütülebilir dosyayla başlar. Yürütüldüğünde, bir aldatmaca belgesi bırakır ve bir C2 sunucusuyla bağlantı kurmak için kabuk kodunu yükler.
ANY.RUN sanal alanının tüm özelliklerini 14 günlük ücretsiz denemeyle deneyin
Sunucudan, kalıcılık ve yönetici ayrıcalıkları elde etmek için kullanılan RuntimeBroker ve RemoteShellcode’u indirir. Fodhelper.exe ve CMSTPLUA COM arayüzü gibi meşru ikili dosyalardaki güvenlik açıklarından yararlanarak saldırganlar, tehlikeye atılan sistemdeki ayrıcalıkları daha da artırır.
ValleyRAT’in temel bileşenlerinden biri olan RuntimeBroker, birincil görevi uzaktan komuta ve kontrol (C2) sunucusundan ek kötü amaçlı yazılımları almak olan ikincil bir yükleyici olarak işlev görür ve ardından sanal ortamları tespit etmek ve bunlardan kaçınmak için ek güvenlik önlemleri içeren yeni bir enfeksiyon döngüsü başlatır.
Tencent, WeChat ve Alibaba DingTalk gibi popüler Çin uygulamalarıyla ilişkili belirli kayıt defteri anahtarlarını bulmak için Windows Kayıt Defterini tarıyor; bu da kötü amaçlı yazılımın özellikle Çin sistemlerine odaklandığını daha da güçlendiriyor.
RemoteShellcode, karmaşık bir arka kapı olan ValleyRAT için bir indirici görevi görür. Çalıştırma sırasında RemoteShellcode, UDP veya TCP protokollerini kullanarak bir komut ve kontrol sunucusuyla bir ağ bağlantısı kurar.
Bağlantı, ValleyRAT yükünün aktarılmasını kolaylaştırıyor ve bu yük alındığında saldırganlara tehlikeye atılmış sistem üzerinde uzaktan kontrol sağlıyor.
Uzaktan kod çalıştırma, ekran görüntüsü yakalama, dosya yönetimi ve ek eklentiler yükleme yeteneği gibi yetenekleri sayesinde güvenlik açısından güçlü bir tehdit oluşturuyor.
HERHANGİ BİR KOŞU sandbox, MSBuild.exe’yi Temp dizininde bir dosyayı çalıştırırken tanımlayan ValleyRAT’ın davranışını analiz etmek için değerli bir araçtır. MSBuild, .NET projeleri oluşturmak için meşru olsa da, burada kullanımı kötü amaçlı etkinliğin gizlenmesini önermektedir.
Suricata IDS kural tespiti, sanal alan içerisinde bir komuta ve kontrol sunucusuyla iletişim kurma girişiminin, meşru bir araç ve gizli iletişim kanalları kullanılarak olası bir kötü amaçlı yazılım bulaşmasına işaret ettiğini gösteriyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial