ValleyRATキャンペーン、偽インストーラーと日本語の悪意あるメールでWindowsユーザーに感染を拡大

2023年に初めて確認された強力なリモートアクセス型トロイの木馬(RAT)「ValleyRAT」が、脅威ランドスケープ全体で大規模な再流行を見せています。

LevelBlue GSOCの脅威インテリジェンスによると、検知件数は2025年を通じて急増し、2026年初頭にはそのペースが倍増したことが明らかになっています。

このマルウェアは従来からSilverFoxという脅威グループと関連付けられており、攻撃者は侵害したWindowsシステムを完全に遠隔操作できるようになります。

これまでのキャンペーンは中国語話者を標的とした偽インストーラーに大きく依存していましたが、最近の作戦では日本語話者の被害者を狙う悪意あるメールへと軸足を移しています。

この2つの攻撃経路は、地理的な攻撃範囲を積極的に拡大している、極めて適応力の高い脅威アクターの存在を浮き彫りにしています。

偽インストーラーの手口は地域のセキュリティソフトウェアの動作に積極的に干渉し、多国籍企業の海外拠点への足がかりとして使われることが多くなっています。

一方、今回新たに確認された悪意あるメールキャンペーンでは、まったく異なる手口が導入されています。

攻撃者はソーシャルエンジニアリングと高度なファイルレス実行技術を組み合わせることで、従来型のエンドポイント防御を容易にすり抜ける感染チェーンを作り上げています。

最新のValleyRATキャンペーンは、繁体字中国語または日本語で書かれた、極めて標的を絞ったフィッシングメールを起点に攻撃を開始します。

これらのメールは大抵、人事異動や給与改定に関する緊急の社内連絡を装っています。

被害者が本文中のリンクをクリックすると、正規のデジタル署名付き実行ファイルと悪意あるDLLを含むZIPアーカイブがダウンロードされます。

メールには受信者に対し、ファイルをパソコン上で開くよう明示的に指示する文言が記載されており、典型的なDLLサイドローディング攻撃の下地が整えられます。

被害者が一見無害に見える実行ファイル(多くの場合VLCメディアプレーヤーを装っている)を起動すると、知らぬ間に悪意あるDLLが読み込まれます

このDLLは攻撃全体の指揮役として機能し、まず自身を公開ディレクトリにコピーしてレジストリの実行キーを作成することで、永続性を確立します。

その後、高度に洗練されたルーチンを実行し、リモートサーバーから最終的なValleyRATペイロードをダウンロードします。

検知を回避するため、ダウンロードURLはBase64でエンコードされており、ペイロードは「zenzensu」というキーを用いたRC4アルゴリズムで暗号化されています。

LevelBlueの調査によると、ValleyRATのようなファイルレスでメモリ常駐型の脅威を検知するには、従来のシグネチャベースのスキャンだけでは不十分だとされています。

セキュリティアナリストたちは、流出したValleyRATのソースコードがGitHub上で確認できることを利用し、そこから抽出した特定のモジュール名を追跡することで、このキャンペーンの特定に成功しています。

メモリ内でこれらの浮遊モジュールを監視することで、防御側は初期のエンドポイントチェックを回避した後であっても、マルウェアを検知できるようになります。

この手法は誤検知を生む可能性があるため、自動アラートシステムよりも、能動的な脅威ハンティングの環境で活用するのが望ましいといえます。

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化表記(例: [.])としています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいはご利用のSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://cyberpress.org/valleyrat-infects-windows-users/

ソース: cyberpress.org