ValleyRATがRC4暗号化・Donutシェルコード・rundll32インジェクションでステルス化

ValleyRATの活動が最近急増しており、RC4で暗号化したペイロード、Donutが生成するシェルコード、そしてサスペンド状態のrundll32プロセスを介したメモリ内実行を組み合わせることで検知を回避しています。

ValleyRATは2023年にProofpointが初めて名付けたマルウェアですが、その後も進化を続けています。LevelBlueのテレメトリによれば、2025年5月から検知件数が顕著に増加し始め、2026年に入ってさらに加速しています。

現在このマルウェアは、偽のインストーラーと悪意あるメールキャンペーンという2つの主要な感染経路を通じて拡散しています。それぞれ言語別に調整された誘導文言と、調査・防御の妨げとなる強固なアンチ解析機能を備えています。

LevelBlueが分析した悪意あるメールキャンペーンは、中国語・日本語話者のユーザーを標的としており、EXEファイルとDLLファイルを含むZIPアーカイブを配布するURLから始まります。

このEXEは一見正規のバイナリに見える作りになっており(メタデータはVLCなど信頼されたソフトウェアを模倣していることが多い)、悪意あるDLLをサイドロードするために使われます。

DLLがロードされると、永続化と情報取得の機能を実行すると同時に、複数の回避技術を適用します。具体的には、ジャンクコードによる水増し、メモリサイズのチェック、スリープ時間の検証、プロセッサ数の確認、そして仮想化サンドボックスを避けるためのIsNativeVhdBoot()チェックです。

永続化は通常、ファイルをC:\Users\Public\Documents\res\にコピーし、ログオン時にリネームされた実行ファイルを実行するRunキーのレジストリエントリを作成することで実現されます。

ダウンロード段階では、ファイルレス性を重視した独自の暗号化が特徴的です。DLLはBase64エンコードされたURLから最終的なValleyRATペイロードを取得し、埋め込まれたキー「zenzensu」を使ったRC4で復号します。

復号したペイロードをディスクに書き込む代わりに、マルウェアはサスペンド状態のrundll32.exeプロセスを作成し、VirtualAllocEx()とWriteProcessMemory()を使ってRC4で復号したシェルコードをそのプロセスメモリに注入した後、ResumeThread()で実行を再開します。

LevelBlueがGBhackersと共有したレポートで述べているところによると、ValleyRATに関連する攻撃経路として、偽インストーラーを利用するキャンペーンと悪意あるメールを起点とするキャンペーンという2つの異なるベクトルを特定したとのことです。

このサスペンドプロセスへのインジェクション手法は、ディスク上に痕跡を残さず、かつ正規のWindowsバイナリを利用してプロセス一覧に紛れ込むことで、ステルス性を保っています。

ValleyRATが用いるRC4暗号化

VirusTotalから取得したサンプルの分析により、メモリ内で実行されるペイロードはDonutで生成されたものであることが判明しました。Donutは、.NETアセンブリをメモリから実行可能な位置独立コード(PIC)形式のシェルコードに変換する際によく使われるジェネレーターです。

LevelBlueは、一般公開されているdonut-decryptorを使って元のアセンブリを復元し、これまでに報告されているValleyRATのサンプルと一致する持続的な挙動を確認しました。この結果は、攻撃者の特定を一層難しくするものとなっています。

一部のレポートはValleyRATをSilverFoxやBYOVD手法と結び付けていますが、流出したビルダーやバリアントの多様性を踏まえると、このマルウェアは複数の攻撃者によって使われているか、あるいはコモディティとして販売されている可能性がうかがえます。

LevelBlueの検知アプローチは、行動ベースのハンティングと、流出したValleyRATプロジェクトから得られたアクセス名やモジュールファイル名などの指標を組み合わせたものです。

ValleyRATに関する流出データセットは複数公開されており、今回のクエリ開発で参照した特定の流出データには、複数のVisual Studioプロジェクトファイルが含まれていました。

あるプロアクティブハンティングクエリは、既知のValleyRATの名称と一致する浮遊モジュールにフラグを立てますが、アナリストはこうしたロジックが誤検知を生む可能性があると注意を促しています。そのため、このクエリは自動的なMalOpアラートとしてではなく、LevelBlueのプロアクティブハンティングモデルの下で運用されています。

このハンティングモデルは多少のノイズを許容し、顧客への通知前に人間による検証を挟む仕組みになっています。

対策としては、メールの衛生管理、ユーザーの意識向上、エンドポイントの可視性確保が中心となります。組織は、フリーメールプロバイダーから届く業務関連の予期せぬメッセージを疑うよう従業員を教育し、疑わしいZIPダウンロードリンクをメールゲートウェイでブロックし、DLLサイドロード・Donutシェルコードの実行・メモリ内インジェクションのパターンを検知できるEDRを導入すべきです。

マネージドサポートを求める組織向けには、LevelBlueのMDRおよびプロアクティブハンティングサービスが、運用負荷を軽減するカスタマイズされた検知ルールとアナリストによる検証を提供しています。

より詳しい背景については、Proofpointが最初に発表したValleyRATに関するレポートや、ValleyRATのビルダー流出およびBYOVD手法に関するその後の調査、さらにDonut生成シェルコードやdonut-decryptorツールに関する公開資料を参照してください。

IOC

IOC IOCタイプ 説明
e8be03f19ada1f5cec74b143e21d4939e781671d SHA1 悪意あるメール
frehf.oss-cn-hongkong.aliyuncs[.]com ドメイン 悪意あるメール内URLのドメイン部分
65168c8dd93b16d3b77092fb70c0fa6fba4dffcc SHA1 ZIPアーカイブ
http://154.92.16[.]22/xz.bin URL ValleyRATのダウンロードURL
eca7ed7b699835fadc2c2997a2845864e02b8dfe SHA1 RC4で暗号化されたValleyRATサンプル

注: IPアドレスとドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化表記(例: [.])にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンス基盤内でのみ行ってください。

翻訳元: https://gbhackers.com/valleyrat-uses-rc4-encryption/

ソース: gbhackers.com