Các nhà nghiên cứu bảo mật của ANY.RUN vừa qua đã phát hiện một cuộc tấn công tinh vi nhắm vào người dùng Trung Quốc, nhằm lan truyền mã độc đa giai đoạn ValleyRAT, được thiết kế để xâm nhập hệ thống và thiết lập các backdoor cho phép tin tặc kiểm soát các thiết bị nhiễm. ValleyRAT tiến hành triển khai thêm các plugin sau khi cài đặt trên hệ thống, mở rộng khả năng gây hại như tấn công ransomware, đánh cắp thông tin hoặc biến thiết bị nhiễm thành các zombie trong mạng lưới botnet.
Mã độc được ngụy trang dưới dạng các ứng dụng hợp pháp như Microsoft Office, sử dụng các tên tệp như 工商年报大师.exe
hoặc 补单对接更新记录txt.exe
để trông không gây nghi ngờ. Khi được khởi chạy, tệp thực thi sẽ thả một tài liệu giả và tải mã shell để tiến hành tấn công đến giai đoạn tiếp theo. Sau khi kết nối tới máy chủ C2, RuntimeBroker và RemoteShellcode được tải về trên phía máy nạn nhân. Hai thành phần này chịu trách nhiệm duy trì sự tồn tại của mã độc trên máy chủ, giành quyền quản trị thông qua các kỹ thuật khai thác và gia tăng đặc quyền thông qua các ứng dụng hợp pháp như fodhelper.exe
và CMSTPLUA COM interface
.
RuntimeBroker là thành phần quan trọng của ValleyRAT, hoạt động như một trình loader phụ với vai trò chính là lấy thêm phần mềm độc hại từ máy chủ C2 từ xa và khởi động chu kỳ lây nhiễm mới, tích hợp thêm các biện pháp bảo vệ để phát hiện và tránh môi trường ảo. Nó quét Windows Registry để tìm các khóa liên quan đến các ứng dụng phổ biến của Trung Quốc như Tencent, WeChat và Alibaba DingTalk, củng cố quan điểm cho rằng ValleyRAT đang đặc biệt nhắm đến các hệ thống Trung Quốc.
RemoteShellcode được cấu hình để lấy trình loader ValleyRAT bằng cách sử dụng các giao thức mạng như UDP hoặc TCP để kết nối với máy chủ C2 và nhận về các payload cuối cùng. Backdoor này gồm đầy đủ các chức năng có khả năng điều khiển từ xa hệ thống bị xâm phạm, chụp ảnh màn hình, thực thi tệp và tải thêm các plugin.
Kết quả phân tích trên sandbox của các nhà nghiên cứu cho thấy, tệp tin thực thi MSBuild.exe
được thực thi và trỏ tới file.exe
nằm trong thư mục Temp
. Việc sử dụng MSBuild.exe
chỉ ra một nỗ lực che giấu các hoạt động độc hại trong các process có vẻ hợp pháp. Ngoài ra kết quả phân tích sandbox cũng cung cấp thông tin về việc giao tiếp thông qua kênh liên lạc ẩn với máy chủ C2 của ValleyRAT được phát hiện bởi một rule trên hệ thống Suricata IDS.
Tham khảo
ANY.RUN cybersecurity blog: https://any.run/cybersecurity-blog/new-valleyrat-campaign/?utm_source=linkedin&utm_medium=post&utm_campaign=threat-intelligence-explained&utm_content=blog&utm_term=220824/
Cybersecurity News: https://cybersecuritynews.com/valleyrat-malware-attack-windows-systems/?__im-QtjBXunZ=8539982097534491357