Kökeni 2023’ün başına kadar uzanan, kötü şöhretli bir uzaktan erişim truva atı (RAT) olan ValleyRAT, intikamla yeniden ortaya çıktı.
Sistemlere sızma ve sistemlerin kontrolünü ele geçirme amacıyla tasarlanan bu Çin tehdit aktörü destekli kötü amaçlı yazılım, gelişmeye devam ederek dünya çapındaki siber güvenlik uzmanlarına yeni zorluklar sunuyor.
Zscaler ThreatLabz’ın araştırmasına göre, Çin merkezli bir tehdit aktörünün düzenlediği yeni bir kampanya, ValleyRAT’ın en son versiyonunu ortaya çıkardı. Çok aşamalı yaklaşımıyla öne çıkan bu tehdit kampanyası, hiçbir şeyden haberi olmayan kurbanları tuzağa düşürmek için çeşitli taktikler kullanıyor.
ValleyRAT ve Karmaşık Saldırı Zinciri
Bu kampanyanın merkezinde ValleyRAT’ın karmaşık saldırı zinciri yatıyor. Sonraki aşamalar için gerekli dosyaları tedarik etmek üzere bir HTTP Dosya Sunucusundan (HFS) yararlanan ilk aşamadaki indiriciyle başlar. Anti-virüs kontrolleri, DLL yan yükleme ve süreç enjeksiyon tekniklerini kullanan indirici ve yükleyici, savunmalar arasında titizlikle gezinerek kusursuz yürütme sağlar.
Bu RAT’ın ve arkasındaki yapımcıların inceliklerini anlayan kampanyanın teknik analizi, ValleyRAT tarafından kullanılan karmaşık mekanizmaları ortaya çıkarıyor. XOR ve RC4 şifre çözme işleminden dinamik API çözümlemeye kadar her adım, kötü niyetlerini gizlemek için titizlikle hazırlanmıştır. Sonraki aşamalarda dağıtılan kötü amaçlı DLL’ler ve kabuk kodları, tehdit aktörünün ustalığını daha da kanıtlıyor.
Kalıcılık, ValleyRAT’ın güvenliği ihlal edilmiş sistemlerde uzun ömürlü olması açısından çok önemlidir. Kötü amaçlı yazılım, otomatik çalıştırma anahtarlarını değiştirerek ve dosya özniteliklerini gizleyerek hayatta kalmasını sağlar ve hain operasyonlarını bir an önce gerçekleştirmeye hazır hale gelir.
ValleyRAT’ın Evrimi
ValleyRAT’ın en son versiyonu önemli geliştirmelere sahiptir. İyileştirilmiş cihaz parmak izi alma yeteneklerinden yenilenen bot kimliği oluşturma süreçlerine kadar, kötü amaçlı yazılım, ortamına karışma ve tespit edilmekten kaçma konusunda daha beceriklidir.
Üstelik yeni komutların sunulması, cephaneliğini genişleterek tehdit aktörlerinin virüslü sistemler üzerinde daha fazla kontrol sahibi olmalarını sağlıyor.
ValleyRAT tehdidini azaltmak çok yönlü bir yaklaşım gerektirir. Zscaler Cloud Sandbox gibi gelişmiş tehdit algılama mekanizmalarından yararlanmak çok önemlidir.
Ek olarak, uyanık kalmak ve ortaya çıkan tehditleri belirlemek ve engellemek için tehdit istihbaratından yararlanmak, ValleyRAT’ın saldırısına karşı korunmada çok önemlidir.
ValleyRAT gelişmeye devam ettikçe savunmalarımız da gelişmelidir. Her yinelemede çevrimiçi tehditler daha da artıyor karmaşıktır ve ortaya çıkan tehditlere etkili bir şekilde karşı koymak için proaktif önlemler gerektirir.
Kuruluşlar, bilgi sahibi olarak ve en son siber güvenlik çözümlerinden yararlanarak savunmalarını güçlendirebilir ve ValleyRAT ve benzeri tehditlerin oluşturduğu riskleri azaltabilir.