VietNetwork.Vn

Người dùng nói tiếng Trung Quốc là mục tiêu của một chiến dịch đang diễn ra nhằm phát tán phần mềm độc hại có tên ValleyRAT.

Các nhà nghiên cứu Eduardo Altares và Joie Salvio của Fortinet FortiGuard Labs cho biết : "ValleyRAT là một phần mềm độc hại nhiều giai đoạn sử dụng các kỹ thuật đa dạng để giám sát và kiểm soát nạn nhân, đồng thời triển khai các plugin tùy ý để gây thêm thiệt hại".


"Một đặc điểm đáng chú ý khác của phần mềm độc hại này là việc sử dụng nhiều shellcode để thực thi nhiều thành phần trực tiếp trong bộ nhớ, làm giảm đáng kể dấu vết tệp của nó trong hệ thống của nạn nhân."

Thông tin chi tiết về chiến dịch lần đầu tiên xuất hiện vào tháng 6 năm 2024, khi Zscaler ThreatLabz trình bày chi tiết các cuộc tấn công liên quan đến phiên bản cập nhật của phần mềm độc hại.

Hiện vẫn chưa biết chính xác cách phân phối phiên bản mới nhất của ValleyRAT, mặc dù các chiến dịch trước đó đã tận dụng các thông báo email có chứa URL trỏ đến các tệp thực thi được nén.

Chuỗi tấn công là một quy trình gồm nhiều giai đoạn bắt đầu bằng trình tải giai đoạn đầu mạo danh các ứng dụng hợp pháp như Microsoft Office để làm cho chúng có vẻ vô hại (ví dụ: "工商年报大师.exe" hoặc "补单对接更新记录txt.exe" ).


Việc khởi chạy tệp thực thi sẽ làm cho tài liệu mồi nhử bị loại bỏ và shellcode được tải để chuyển sang giai đoạn tiếp theo của cuộc tấn công. Trình tải cũng thực hiện các bước để xác thực rằng nó không chạy trên máy ảo.

Shellcode chịu trách nhiệm khởi tạo mô-đun báo hiệu liên hệ với máy chủ ra lệnh và kiểm soát (C2) để tải xuống hai thành phần – RuntimeBroker và RemoteShellcode – cùng với việc thiết lập tính bền vững trên máy chủ và giành được đặc quyền của quản trị viên bằng cách khai thác tệp nhị phân hợp pháp có tên fodhelper.exe và đạt được một đường vòng UAC.

Phương pháp thứ hai được sử dụng để leo thang đặc quyền liên quan đến việc lạm dụng giao diện CMSTPLUA COM, một kỹ thuật trước đây được các tác nhân đe dọa có liên quan đến ransomware Avaddon áp dụng và cũng được quan sát thấy trong các chiến dịch Hijack Loader gần đây.

Trong nỗ lực tiếp theo nhằm đảm bảo rằng phần mềm độc hại chạy không bị cản trở trên máy, nó sẽ định cấu hình các quy tắc loại trừ đối với Tính năng Chống vi-rút của Bộ bảo vệ Microsoft và tiến hành chấm dứt các quy trình khác nhau liên quan đến phần mềm chống vi-rút dựa trên tên tệp thực thi trùng khớp.

Nhiệm vụ chính của RuntimeBroker là truy xuất từ máy chủ C2 một thành phần có tên Loader, thành phần này hoạt động giống như trình tải giai đoạn đầu và thực thi mô-đun báo hiệu để lặp lại quá trình lây nhiễm.

Tải trọng của Loader cũng thể hiện một số đặc điểm riêng biệt, bao gồm thực hiện kiểm tra xem liệu nó có chạy trong hộp cát hay không và quét Windows Sổ đăng ký để tìm các khóa liên quan đến các ứng dụng như Tencent WeChat và Alibaba DingTalk, củng cố giả thuyết rằng phần mềm độc hại chỉ nhắm mục tiêu vào các hệ thống của Trung Quốc.

Mặt khác, RemoteShellcode được định cấu hình để tìm nạp trình tải xuống ValleyRAT từ máy chủ C2, sau đó sử dụng ổ cắm UDP hoặc TCP để kết nối với máy chủ và nhận tải trọng cuối cùng.

ValleyRAT, được cho là của một nhóm đe dọa có tên Silver Fox, là một cửa hậu đầy đủ tính năng có khả năng điều khiển từ xa các máy trạm bị xâm nhập. Nó có thể chụp ảnh màn hình, thực thi tệp và tải các plugin bổ sung trên hệ thống nạn nhân.

Các nhà nghiên cứu cho biết: "Phần mềm độc hại này bao gồm một số thành phần được tải trong các giai đoạn khác nhau và chủ yếu sử dụng shellcode để thực thi chúng trực tiếp trong bộ nhớ, làm giảm đáng kể dấu vết tệp của nó trong hệ thống".

"Một khi phần mềm độc hại có được chỗ đứng trong hệ thống, nó sẽ hỗ trợ các lệnh có khả năng giám sát hoạt động của nạn nhân và cung cấp các plugin tùy ý để tiếp tục ý định của các tác nhân đe dọa."

Sự phát triển này diễn ra trong bối cảnh các chiến dịch malspam đang diễn ra nhằm khai thác lỗ hổng Microsoft Office cũ (CVE-2017-0199) để thực thi mã độc và phân phối GuLoader, Remcos RAT và Sankeloader.

Symantec thuộc sở hữu của Broadcom cho biết : "CVE-2017-0199 vẫn được nhắm mục tiêu để cho phép thực thi mã từ xa từ bên trong tệp XLS". "Các chiến dịch đã phân phối một tệp XLS độc hại có liên kết mà từ đó tệp HTA hoặc RTF từ xa sẽ được thực thi để tải xuống trọng tải cuối cùng."