ValleyRAT_S2として知られる高度な第2段階マルウェア・ペイロードが出現し、中国本土、香港、台湾、東南アジアを含む中国語圏の組織にとって重大な脅威となっています。
C++で書かれたこのリモートアクセス型トロイの木馬(RAT)は、モジュール式で極めて回避性の高いサイバー諜報ツールであり、システムへの侵入、永続的なアクセスの維持、機密性の高い金融・業務データの抽出を目的として設計されています。
第1段階が侵入と回避手法を担う一方で、第2段階は重要なバックドア機能、コマンド&コントロール(C2)通信、永続化メカニズム、包括的なシステム偵察オペレーションを実装します。
このマルウェアは、組織の防御を突破するために高度な配布手法を用います。
ValleyRAT_S2は、ValleyRATマルウェアファミリーの機能的中核として動作し、ステージ1のペイロードによる初期感染が成功した後に起動されます。
攻撃者はValleyRAT_S2を偽の生産性ツール、特に「AI表格生成工具」(AIベースのスプレッドシート生成ツール)として販売されるツールに偽装し、クラックソフトのダウンロードや、一見正規に見える中国語ユーティリティと併せて配布します。このソーシャルエンジニアリング手法は、地域の組織に対して特に有効であることが示されています。
特に危険な配布メカニズムとして、DLLサイドローディングが挙げられます。これは、正規の署名付きアプリケーションを改変し、同一ディレクトリに置かれた悪意あるDLLを読み込ませる手法です。
このマルウェアはsteam_api64.dllやapphelp.dllといった一般的なライブラリ名を巧妙に模倣し、正当性を保つために適切なエクスポート関数も維持します。
この手法により、シグネチャベースのアンチウイルス検知を効果的に回避し、ユーザーアカウント制御(UAC)保護も迂回します。
追加の配布ベクターとしては、悪意ある文書添付(.doc、.xls、.pdf)を伴う標的型フィッシングメールキャンペーン、偽装された実行ファイルを含む圧縮アーカイブ、さらに中国国内で普及している正規ソフトウェアの正当な更新メカニズムの悪用などが含まれます。
技術的能力とシステムへの影響
ValleyRAT_S2は包括的なシステム列挙を実施し、OS情報、ロケール設定、レジストリデータ、インストール済みソフトウェアの詳細を収集します。
このマルウェアは、隠しドライブ、リムーバブルメディア、ネットワーク共有を対象にファイルシステムをスキャンし、WindowsのスナップショットAPIを用いて実行中プロセスも列挙します。
この偵察フェーズにより、攻撃者は組織の技術的フットプリントを完全に把握できます。
このマルウェアは、COM APIを介したタスクスケジューラ統合と、ボリュームシャドウコピーの操作によって高度な永続化手法を実装します。
DLLの偽装機能により正規のシステムライブラリをシームレスに装うことができ、またサンドボックス検知ヒューリスティクスによって解析環境を識別し、セキュリティ研究者を回避します。
コードインジェクション機構は、スレッドコンテキスト操作、WriteProcessMemoryおよびCreateRemoteThread APIによるメモリ注入、さらにキーストローク監視のためのWindowsフック統合など、洗練された手法を活用します。
このマルウェアは、特定されたIPアドレス27.124.3.175:14852を含むハードコードされたエンドポイントを用い、無害なトラフィックパターンを模倣するカスタムTCPベースのプロトコルによって、堅牢なコマンド&コントロール(C2)基盤を確立します。
挙動分析と脅威タイムライン
解析により、Steam APIコンテキストのセットアップと動的な関数ポインタ解決を伴うマルウェア初期化が明らかになっています。
その後マルウェアは、正規のSteamイベントに偽装したコールバックを実行し、永続化と同期のためにタイミング機構を使用します。
生成されたバッチスクリプトは、プロセス実行を監視し、終了された場合にマルウェアを自動的に再起動するウォッチドッグ機構を作成します。
このマルウェアは、システムの%TEMP%ディレクトリ内に一時的な環境ステージングを構築し、プロセス間連携と自動実行のためにtarget.pidやmonitor.batなどのファイルを生成します。
環境パスの解決ではAppData\Roamingディレクトリを狙ってマルウェアデータをステージングし、メモリ上の構築ではユーザーの疑念を避けるためにTelegra.exeやWhatsApp.exeのような無害そうな実行ファイル名を作り出します。
技術分析では、ValleyRAT_S2がMITRE ATT&CKフレームワークの複数カテゴリにまたがることが示されており、フィッシングによる初期アクセス、権限昇格のためのプロセスインジェクション、防御回避のためのDLLサイドローディング、包括的なシステム探索などが含まれます。
このマルウェアの能力は、キーストロークの記録やローカルデータ収集から、確立されたC2チャネルを通じた流出まで多岐にわたり、ボリュームシャドウコピーの操作はランサムウェアのステージング能力の可能性も示唆します。
標的地域で事業を行う組織は、強固な検知戦略、従業員向けセキュリティ意識向上トレーニング、そしてDLLサイドローディングの試行や不審なプロセスインジェクション活動を特定できるように特別に構成されたエンドポイント保護ソリューションを導入すべきです。
翻訳元: https://gbhackers.com/valleyrat_s2/
