يستهدف برنامج ValleyRAT متعدد المراحل المستخدمين الصينيين بتكتيكات متقدمة
المستخدمون الناطقون باللغة الصينية هم هدف حملة مستمرة توزع البرمجيات الخبيثة المعروفة باسم ValleyRAT.
“ValleyRAT عبارة عن برنامج ضار متعدد المراحل يستخدم تقنيات متنوعة لمراقبة ضحاياه والتحكم بهم ونشر مكونات إضافية عشوائية لإحداث المزيد من الضرر،” هذا ما قاله الباحثان في Fortinet FortiGuard Labs، إدواردو ألتاريس وجوي سالفيو. قال.
“من السمات الأخرى الجديرة بالملاحظة لهذه البرامج الضارة استخدامها المكثف لرمز القشرة لتنفيذ مكوناتها العديدة مباشرة في الذاكرة، مما يقلل بشكل كبير من أثر الملفات في نظام الضحية.”
ظهرت تفاصيل الحملة لأول مرة في يونيو 2024، عندما قامت شركة Zscaler ThreatLabz بتفصيل هجمات تتضمن نسخة محدثة من البرنامج الضار.
لا تُعرف حاليًا كيفية توزيع الإصدار الأخير من ValleyRAT، على الرغم من أن الحملات السابقة استفادت من رسائل البريد الإلكتروني التي تحتوي على عناوين URL التي تشير إلى ملفات تنفيذية مضغوطة.
تسلسل الهجوم عبارة عن عملية متعددة المراحل تبدأ بمحمل المرحلة الأولى الذي ينتحل صفة التطبيقات الشرعية مثل Microsoft Office لجعلها تبدو غير ضارة (على سبيل المثال، “工商年报大师.exe” أو “补单对接更新记录txt.exe” ).
يؤدي تشغيل الملف القابل للتنفيذ إلى إسقاط المستند الخادع وتحميل كود القشرة للتقدم إلى المرحلة التالية من الهجوم. يتخذ برنامج التحميل أيضًا خطوات للتحقق من عدم تشغيله في جهاز افتراضي.
يعد كود القشرة مسؤولاً عن بدء وحدة إشارة تتصل بخادم القيادة والتحكم (C2) لتنزيل مكونين – RuntimeBroker و RemoteShellcode – إلى جانب ضبط الثبات على المضيف والحصول على امتيازات المسؤول عن طريق استغلال ثنائي شرعي يسمى fodhelper.exe و تحقيق تجاوز UAC.
الطريقة الثانية المستخدمة لتصعيد الامتيازات تتعلق بإساءة استخدام واجهة CMSTPLUA COM، وهي تقنية تم اعتمادها سابقًا من قبل جهات التهديد المرتبطة بـ برنامج الفدية Avaddon وقد لوحظ أيضًا في حملات Hijack Loader الأخيرة.
وفي محاولة أخرى للتأكد من تشغيل البرامج الضارة دون عوائق على الجهاز، تقوم بتكوين قواعد الاستثناء لبرنامج Microsoft Defender Antivirus وتستمر في إنهاء العمليات المختلفة المتعلقة بمكافحة الفيروسات بناءً على مطابقة أسماء الملفات القابلة للتنفيذ.
تتمثل المهمة الأساسية لـ RuntimeBroker في استرداد مكون يسمى Loader من خادم C2، والذي يعمل بنفس طريقة محمل المرحلة الأولى وينفذ وحدة الإشارة لتكرار عملية الإصابة.
تُظهر حمولة Loader أيضًا بعض الخصائص المميزة، بما في ذلك إجراء فحوصات لمعرفة ما إذا كانت تعمل في وضع الحماية ومسح سجل Windows بحثًا عن المفاتيح المتعلقة بتطبيقات مثل Tencent WeChat وAlibaba DingTalk، مما يعزز الفرضية القائلة بأن البرامج الضارة تستهدف الأنظمة الصينية حصريًا.
من ناحية أخرى، تم تكوين RemoteShellcode لجلب برنامج تنزيل ValleyRAT من خادم C2، والذي يستخدم بعد ذلك مآخذ توصيل UDP أو TCP للاتصال بالخادم واستلام الحمولة النهائية.
ValleyRAT، المنسوب إلى مجموعة تهديد تسمى Silver Fox، عبارة عن باب خلفي كامل الميزات قادر على التحكم عن بعد في محطات العمل المخترقة. يمكنه التقاط لقطات شاشة وتنفيذ الملفات وتحميل مكونات إضافية على نظام الضحية.
وقال الباحثون: “تتضمن هذه البرامج الضارة عدة مكونات تم تحميلها في مراحل مختلفة وتستخدم بشكل أساسي كود القشرة لتنفيذها مباشرة في الذاكرة، مما يقلل بشكل كبير من تتبع ملفها في النظام”.
“بمجرد أن تكتسب البرامج الضارة موطئ قدم في النظام، فإنها تدعم الأوامر القادرة على مراقبة أنشطة الضحية وتقديم مكونات إضافية عشوائية لتعزيز نوايا الجهات الفاعلة في التهديد.”
ويأتي هذا التطوير وسط حملات البريد العشوائي المستمرة التي تحاول استغلال ثغرة أمنية قديمة في Microsoft Office (CVE-2017-0199) لتنفيذ تعليمات برمجية ضارة وتقديم GuLoader وRemcos RAT وSankeloader.
“لا يزال CVE-2017-0199 مستهدفًا للسماح بتنفيذ التعليمات البرمجية عن بعد من داخل ملف XLS،” شركة Symantec المملوكة لشركة Broadcom قال. “لقد سلمت الحملات ملف XLS ضارًا مع رابط يمكن من خلاله تنفيذ ملف HTA أو RTF عن بعد لتنزيل الحمولة النهائية.”
إرسال التعليق