ValleyRAT_S2マルウェアを悪用した高度なサイバー諜報キャンペーンが、中国語圏地域を積極的に標的として金融データを盗み、永続的なバックドアアクセスを確立しています。
C++で書かれたこの第2段階のリモートアクセス型トロイの木馬(RAT)は、中国本土、香港、台湾、東南アジア全域の組織にとって高度な脅威となっています。
ValleyRAT_S2は、複数の感染ベクターを用いてシステムを侵害します。このマルウェアは、AI搭載のスプレッドシート生成ツールの偽物や、クラック版ソフトウェアのダウンロードなど、正規の生産性ツールを装います。
最も高度な配布手法はDLLサイドローディングで、steam_api64.dllのような悪意あるライブラリが正規アプリケーションを模倣し、アンチウイルス検知を回避してユーザーアカウント制御を迂回します。
攻撃者はまた、悪意ある文書添付ファイルや、偽装した実行ファイルを含む圧縮アーカイブを用いた標的型フィッシングキャンペーンを通じてマルウェアを展開します。
場合によっては、脅威アクターが中国で人気のあるアプリケーションの正規ソフトウェア更新メカニズムを侵害し、信頼されたチャネルを通じてペイロードを配布しています。
インストールされると、ValleyRAT_S2は広範なシステム偵察を実行し、OSの詳細、レジストリデータ、ファイルシステム情報、実行中プロセスの一覧を収集します。
このマルウェアはタスクスケジューラとの連携によって永続化を確立し、サンドボックス検知やAPI難読化などの高度な回避技術を用います。
このRATは、27.124.3.175:14852のようなハードコードされたエンドポイント上のコマンド&コントロールサーバーと、独自のTCPプロトコルで通信します。
モジュール式アーキテクチャにより、ファイル転送、リモートシェル実行、ペイロード注入、認証情報の窃取をサポートします。
このマルウェアは共有メモリオブジェクトを通じてプロセス間通信を確立します。また、終了を試みられた後でも永続性を確保するため、監視用のバッチスクリプトを使用します。
組織は、%TEMP%および%APPDATA%ディレクトリ内の不審なファイルを監視し、異常なC2トラフィックパターンに対するネットワーク監視を実装し、プロセス注入やDLLサイドローディング活動を検知するために振る舞い分析ツールを導入すべきです。
ソーシャルエンジニアリング手法による初期侵害を防ぐため、定期的なセキュリティ意識向上トレーニングは引き続き不可欠です。
翻訳元: https://cyberpress.org/valleyrat-s2-covert-malware-financial-data-theft/