偽のMicrosoft Teamsダウンロードページで広がるValleyRATマルウェア

ハッカーは、社会工学と多段階実行テクニックを活用して検出を回避しながら、偽のMicrosoft Teamsダウンロードページを通じて高度なValleyRATマルウェアの亜種を積極的に配布しています。

このキャンペーンは4月中旬にXプラットフォームで初めて観察され、teams-securecall[.]comやteamszs[.]comなどの詐欺的ドメインを使用しています。

これらのサイトは公式のMicrosoft Teamsを巧妙に模倣し、ユーザーをZIPアーカイブにパッケージされたトロイの木馬化されたインストーラーをダウンロードするよう騙します。

確認された悪意のあるアーカイブ名は次のとおりです：

ダウンロードされると、ユーザーは知らないうちに悪意のあるNSISベースのインストーラーを実行し、感染チェーンを開始します。

インストーラーは、ローダー、悪意のあるDLL（utility.dll）、およびサポートバイナリーを含む複数のコンポーネントをドロップします。

正当性を保つために、本物のMicrosoft Teamsアプリケーションもインストールし、デスクトップショートカットを作成して悪意のある活動を隠蔽します。

K7 Security labsがGBhackersと共有したレポートで述べたところによると、配信されたペイロードは開発された正規のexecutable（GameBox.exe）を介したDLLサイドローディングチェーンを活用しています。

使用される主要なテクニックは、Tencentによって開発された正規のexecutableであるGameBox.exeを介したDLLサイドローディングです。これにより、悪意のあるDLLは信頼されたアプリケーションの装いの下で実行され、セキュリティコントロールをバイパスできます。

偽のMicrosoft Teamsダウンロード

マルウェアはPowerShellコマンドを使用してWindows Defenderの設定を変更し、その作業ディレクトリと悪意のあるコンポーネントを検出から除外します。

また、ファイルをProgramDataディレクトリにコピーし、SetFileAttributesを使用して隠し属性を設定し、ユーザーから見えにくくします。

レジストリの変更も観察され、以前のValleyRATキャンペーンで見られたパターンと一致しています。これらの成果物は、中国語のインジケーターとともに、SilverFox APTグループへのリンクを示唆しています。

永続性は、_CCGDATという名前のサービスを作成することで実現され、システム起動時に自動的に実行するように設定されます。

マルウェアはその後、Windows暗号化APIを使用してメモリ内のAES暗号化されたペイロード（user.dat）を復号化します。

復号化されたコンテンツはシェルコードローダーとして機能し、CreateThreadを使用して現在のプロセスに自身をインジェクトします。このメモリ内実行はペイロードをディスクに書き込むことを避け、従来のアンチウイルスツールによる検出を大幅に減らします。

マルウェアの第2段階と第3段階はAPIハッシュを使用してWindows API関数を解決し、動的に静的分析を防止します。

コマンド・アンド・コントロール（C2）サーバーから取得された最終ペイロードは、カスタムXORルーチンを使用して暗号化され、実行時に復号化されます。

ペイロードが動的にフェッチされるため、攻撃者はいつでもそれを変更でき、柔軟な悪用後の機能を実現できます。

完全にデプロイされると、ValleyRATはいくつかの監視およびデータ流出活動を実行します：

このキャンペーンは、説得力のある社会工学と高度なマルウェアテクニックを組み合わせた、よく構成された侵入チェーンを示しています。

DLLサイドローディング、メモリ内ペイロード実行、および階層化された暗号化のための正規バイナリーの使用は、ステルスと永続性への強い焦点を強調しています。

全体的な動作と技術的指標は、中国関連の脅威アクターに関連する以前のValleyRAT活動、特にSilverFox APTグループと強く一致しています。

このキャンペーンは、偽のソフトウェア配布サイトによってもたらされる継続的なリスク、および実行前にダウンロードソースを検証することの重要性を強調しています。

注： IPアドレスとドメインは意図的に無効化されています（例： [.]）偶発的な解決またはハイパーリンクを防ぐため。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。