详细内容或原文请订阅后点击阅览
ValleyRAT:狼人木马。它如何感染计算机?
多阶段攻击过程有助于绕过防病毒和 EDR 系统的保护。
来源:安全实验室新闻频道ValleyRAT:狼人木马。它如何感染计算机?
多阶段攻击过程有助于绕过防病毒和 EDR 系统的保护。
网络安全研究人员发现了 ValleyRAT 恶意软件的更新版本,作为新恶意软件活动的一部分进行分发。
“最新版本的 ValleyRAT 引入了新命令,例如捕获屏幕截图、过滤进程、强制关闭和清除 Windows 事件日志,”Zscaler 研究人员表示。
报告 ZscalerValleyRAT 曾于 2023 年被 QiAnXin 和 Proofpoint 记录为与针对中文用户和日本组织的网络钓鱼活动有关。该活动分发了各种恶意软件系列,例如 Purple Fox 和 Gh0st RAT 木马的变体 Sainbox RAT(又名 FatalRAT)。
该恶意软件据信是由中国的一个组织开发的,能够收集敏感信息并向受感染的设备注入额外的有效负载。
攻击的起始点是下载器,它使用 HTTP 文件服务器 (HFS) 下载文件“NTUSER.DXM”,然后解码该文件以提取负责从下载“client.exe”的 DLL。同一个服务器。
DLL解密的 DLL 还旨在检测并终止防病毒解决方案以避免分析。然后,加载程序从 HFS 服务器下载另外三个文件:WINWORD2013.EXE、wwlib.dll 和 xig.ppt。
然后,恶意软件启动“WINWORD2013.EXE”(与 Microsoft Word 关联的合法可执行文件),并使用它来执行 DLL 侧载库“wwlib.dll”,进而在系统上建立持久性并加载“xig” .ppt”进入内存。
DLL 旁加载shellcode 又包含连接到 C2 服务器并将 ValleyRAT 有效负载作为 DLL 文件加载所需的配置。
C2