Ключові висновки
- ValleyRAT орієнтується на тих, хто шукає роботу, у кампанії, що поширюється електронною поштою, маскуючись за інструментом читання PDF-файлів Foxit із застосуванням зброї та виконуючи бічне завантаження бібліотеки динамічних посилань (DLL), щоб закріпитися в системі.
- Як троян віддаленого доступу (RAT), атака ValleyRAT може призвести до того, що зловмисники отримають контроль над системами, відстежуватимуть активність і викрадуть конфіденційні дані.
- Кампанія націлена на тих, хто шукає роботу, а також потенційно може вплинути на тих, хто працює у відділі людських ресурсів (HR), таких як рекрутери та спеціалісти з пошуку.
- Trend Vision One™ виявляє та блокує індикатори компрометації (IoC), про які йдеться в цьому блозі. Клієнти Trend Micro також можуть отримати доступ до індивідуальних пошукових запитів, статистичних даних про загрози та звітів розвідки, щоб краще зрозуміти цю кампанію та завчасно захиститися від неї.
Операції кіберзлочинців продовжують наростати як агресивно, так і витончено, досягаючи більшого впливу завдяки стратегічній інтеграції багатьох методів. Кампанія, досліджена в цій статті, демонструє багаторівневе застосування перевірених і перевірених методів: соціальна інженерія, спрямована на шукачів роботи, обфускація через глибоко вкладені шляхи до каталогу та виконання через бокове завантаження DLL.
Цей скоординований підхід безпосередньо сприяє високому рівню успіху зловмисного програмного забезпечення, що підтверджується значним збільшенням кількості виявлень ValleyRAT, які спостерігаються за нашими даними телеметрії.
Нещодавні спостереження показують, що крім своїх звичайних цілей китайськомовних користувачів, учасники ValleyRAT тепер, схоже, також переслідують шукачів роботи загалом, про що свідчать англомовні назви файлів, знайдені в їхніх шкідливих архівних пакетах.
Оскільки шукачі роботи постійно стежать за новими можливостями, вони можуть швидко завантажувати вкладені файли та пропускати попереджувальні знаки. Емоційне напруження під час пошуку роботи може зменшити обережність, зробивши їх більш схильними довіряти повідомленням, які, здається, надходять від потенційних роботодавців.
Одним із поширених векторів входу, який ми спостерігали, є приваблення роботи електронною поштою. Архівні файли з такими назвами, як Overview_of_Work_Expectations.zip, Candidate_Skills_Assessment_Test.rar або Authentic_Job_Application_Form.zip, навмисно створені, щоб скористатися цікавістю та відчуттям терміновості серед шукачів роботи.
Щоб уникнути первинної перевірки, ці стиснені файли часто маскуються під законні документи відділу кадрів, а насправді містять шкідливі корисні дані.
Подібним чином ця кампанія ValleyRAT також зловживає Foxit. Архівний файл електронної пошти містить перейменовану версію FoxitPDFReader.exe, розроблену, щоб зробити атаку більш прихованою та забезпечити контрольований спосіб завантаження шкідливого коду. Наприклад, файл, проаналізований у цій статті, — це Compensation_Benefits_Commission.exe, назва якого все ще містить приманку, пов’язану з наймом. Цей виконуваний файл також використовує логотип Foxit як піктограму, щоб виглядати переконливіше.
Побачивши логотип Foxit, більшість користувачів припустять, що файл має популярний формат PDF (.pdf), і можуть не помітити, що це насправді виконуваний файл (.exe). Кіберзлочинці часто зловживають файлами .exe, щоб скористатися механізмом порядку пошуку DLL Windows для бокового завантаження DLL.
На скріншоті нижче показано, що бачать користувачі після клацання шкідливого файлу з архіву. PDF-файл, який входить до складу пакету, відображає відомості про роботу та зарплату, ймовірно, підроблені або просто скопійовані з дошок вакансій:
Невідомо користувачеві, оскільки він вивчає деталі документа, корисне навантаження ValleyRAT почало тихо працювати у фоновому режимі.
Техніка ValleyRAT
На цій діаграмі вище показано весь прихований шлях зараження — починаючи зі шкідливого архівного файлу, що містить FoxitPDFReader.exe, замаскованого під документ, завантажуючи шкідливу msimg32.dll і закінчуючи ValleyRAT, з’єднаним боковим завантаженням DLL, виконанням сценаріїв і завантаженням відображення .NET.
Окрім FoxitPDFReader.exe, архівний файл містить шкідливий прихований msimg32.dll, а також інші файли та папки, призначені для посилення обману. Існує ще одна прихована папка під назвою «Документ».
Перегляд файлу через його дерево папок показує, окрім замаскованого виконуваного файлу та файлу DLL, інші приховані файли. Папки проекту типового вигляду співіснують із прихованою директорією Document, що містить довгий ланцюжок вкладених папок із підкресленням, які закінчуються такими файлами, як Shortcut.lnk, і файлами «документів», які демонструють спроби маскування чи приховування.
Пакетний файл document.bat використовує файл document.docx для вилучення вмісту файлу document.pdf. Файл document.docx насправді є замаскованим виконуваним файлом 7zip, який дозволяє видобувати заархівоване середовище Python, приховане у файлі document.pdf.
Цей метод гарантує, що сценарій Python можна буде виконати в цільовій системі, навіть якщо Python не встановлено попередньо, використовуючи сценарій document.bat для автоматизації процесу. Така тактика демонструє винахідливість зловмисників в обході заходів безпеки та виконанні свого корисного навантаження з мінімальною обізнаністю користувача.
Після вилучення пакетний файл викликає інтерпретатор Python для виконання шкідливого сценарію Python, полегшуючи розгортання корисного навантаження.
Після того, як пакетний файл витягує вміст document.pdf (середовище Python) за допомогою document.docx (7zip.exe), закодований base64 завантажується з 196[.]251[.]86[.]145, що містить сценарій Python, який служить завантажувачем коду оболонки.
Python.exe було перейменовано на «zvchost.exe» і запускає сценарій за допомогою параметра «-c», як можна побачити в псевдокоді. Він також створює запис реєстру автозапуску, щоб зробити його постійним у системі.
Атака краде дані з інтернет-браузерів користувачів.
Перевірка сертифіката зловмисного файлу, який було зафіксовано в мережевих журналах інструмента аналізу ізольованого програмного середовища, щоб виявити характеристики, які зазвичай спостерігаються в сертифікатах, які використовуються SSL у стилі AsyncRAT і стандартними C&C фреймворками як частиною безпечного зв’язку. До них належать самопідписана структура, рандомізоване загальне ім’я, застарілі версії TLS і надзвичайно довгий період дії, які часто створюють автоматичні генератори сертифікатів, вбудовані в багато конструкторів RAT.
Аналіз підкреслює, як оператори ValleyRAT використовують емоційну та психологічну вразливість шукачів роботи, зловживаючи їх бажанням отримати роботу. Їхня тактика також передбачає зловживання законним програмним забезпеченням, таким як Foxit Reader, шляхом стороннього завантаження DLL та шахрайських методів.
Розуміючи ці методи, користувачі можуть краще визначати потенційні загрози та вживати профілактичних заходів для захисту своїх систем. Надійне навчання з питань безпеки відіграє життєво важливу роль, допомагаючи людям виявляти та уникати таких складних атак, що в кінцевому підсумку зменшує ймовірність компрометації.
Проактивна безпека з Trend Vision One™
Trend Vision One™ — це єдина корпоративна платформа кібербезпеки на основі штучного інтелекту, яка централізує керування ризиками в кібернетичному просторі та операції безпеки, забезпечуючи надійний багатошаровий захист у локальних, гібридних і багатохмарних середовищах.
Trend Vision One™ Threat Intelligence
Щоб випереджати загрози, що розвиваються, клієнти Trend можуть отримати доступ до Trend Vision One™ Threat Insights, який надає найновішу інформацію від Trend™ Research про нові загрози та їх учасників.
Trend Vision One Threat Insights
Trend Vision One Intelligence Reports (IOC Sweeping)
Мисливські запити
Програма пошуку Trend Vision One
Клієнти Trend Vision One можуть використовувати пошукову програму, щоб зіставляти або шукати шкідливі індикатори, згадані в цій публікації блогу, з даними у своєму середовищі.
Підозріла команда — виконуваний файл/BAT у шляху глибокого підкреслення
processCmd: /(\\_){10,}\\.*(exe|bat)/
Більше пошукових запитів доступні для клієнтів Trend Vision One з увімкненим доступом Threat Insights.
Індикатори компромісу (IoC)