Кибератаки, нацеленные на Гонконг, Тайвань и материковый Китай, приобретают все более изощренный характер. Злоумышленники используют многоступенчатый загрузчик под названием PNGPlug для распространения вредоносного программного обеспечения ValleyRAT. Это троян удаленного доступа, который маскируется под легитимные программные обеспечения и имеет разрушительные последствия.
Распространение ValleyRAT начинается с фишинговых страниц, которые обманом заставляют пользователей загружать вредоносные установочные пакеты Microsoft Installer (MSI). Эти пакеты искусно замаскированы под обычное программное обеспечение. В процессе установки, помимо ожидаемого безобидного приложения (down.exe), происходит скрытая распаковка зашифрованного архива , который содержит основной вредоносный код. Архив защищен паролем "hello202411". После дешифрования извлекаются основные компоненты атаки: динамическая библиотека libcef.dll и файлы в формате PNG, aut.png и view.png.
Роль PNGPlug заключается в подготовке среды для запуска ValleyRAT. Загрузчик libcef.dll инжектирует содержимое PNG файлов aut.png и view.png в память, после чего вносятся изменения в реестр Windows для обеспечения постоянного присутствия вредоносной программы в системе. В заключение запускается сам ValleyRAT.
После успешного развертывания ValleyRAT предоставляет злоумышленникам удаленный доступ к зараженной системе, позволяя им осуществлять полный несанкционированный контроль. Trojan способен захватывать скриншоты экрана и удалять записи из журналов событий Windows, усложняя обнаружение атаки.
Анализ кампании показывает ее потенциальную связь с группой угроз Silver Fox, а также тактическое совпадение с деятельностью Void Arachne, что подтверждается общим использованием платформы управления Winos 4.0.
Уникальность данной кампании проявляется в нескольких аспектах. Во-первых, она четко ориентирована на китайскоязычные регионы. Во-вторых, злоумышленники активно используют поддельное программное обеспечение как приманку, что позволяет им обходить бдительность пользователей. В-третьих, применение легитимных инструментов для распространения вредоносного ПО и модульность PNGPlug демонстрируют высокий уровень подготовки атакующих.
Исследователь безопасности Николь Фишбейн (Nicole Fishbein) из компании Intezer, которая провела технический анализ, подчеркнула изощренность данной атаки. Она отметила, что использование многоступенчатого загрузчика и нестандартные методы распространения делают ее особенно опасной. По ее словам, эта кампания показывает, насколько изобретательными становятся злоумышленники в своем стремлении проникнуть в сети и украсть данные.
Впервые ValleyRAT был обнаружен в «дикой природе» ещё в 2023 году, что свидетельствует о том, что эта угроза существует уже некоторое время.
Изображение носит иллюстративный характер
Распространение ValleyRAT начинается с фишинговых страниц, которые обманом заставляют пользователей загружать вредоносные установочные пакеты Microsoft Installer (MSI). Эти пакеты искусно замаскированы под обычное программное обеспечение. В процессе установки, помимо ожидаемого безобидного приложения (down.exe), происходит скрытая распаковка зашифрованного архива , который содержит основной вредоносный код. Архив защищен паролем "hello202411". После дешифрования извлекаются основные компоненты атаки: динамическая библиотека libcef.dll и файлы в формате PNG, aut.png и view.png.
Роль PNGPlug заключается в подготовке среды для запуска ValleyRAT. Загрузчик libcef.dll инжектирует содержимое PNG файлов aut.png и view.png в память, после чего вносятся изменения в реестр Windows для обеспечения постоянного присутствия вредоносной программы в системе. В заключение запускается сам ValleyRAT.
После успешного развертывания ValleyRAT предоставляет злоумышленникам удаленный доступ к зараженной системе, позволяя им осуществлять полный несанкционированный контроль. Trojan способен захватывать скриншоты экрана и удалять записи из журналов событий Windows, усложняя обнаружение атаки.
Анализ кампании показывает ее потенциальную связь с группой угроз Silver Fox, а также тактическое совпадение с деятельностью Void Arachne, что подтверждается общим использованием платформы управления Winos 4.0.
Уникальность данной кампании проявляется в нескольких аспектах. Во-первых, она четко ориентирована на китайскоязычные регионы. Во-вторых, злоумышленники активно используют поддельное программное обеспечение как приманку, что позволяет им обходить бдительность пользователей. В-третьих, применение легитимных инструментов для распространения вредоносного ПО и модульность PNGPlug демонстрируют высокий уровень подготовки атакующих.
Исследователь безопасности Николь Фишбейн (Nicole Fishbein) из компании Intezer, которая провела технический анализ, подчеркнула изощренность данной атаки. Она отметила, что использование многоступенчатого загрузчика и нестандартные методы распространения делают ее особенно опасной. По ее словам, эта кампания показывает, насколько изобретательными становятся злоумышленники в своем стремлении проникнуть в сети и украсть данные.
Впервые ValleyRAT был обнаружен в «дикой природе» ещё в 2023 году, что свидетельствует о том, что эта угроза существует уже некоторое время.
