ValleyRAT: троян-оборотень. Как он заражает компьютеры?

[Artifact]

Многоступенчатый процесс атаки помогает обойти защиту антивирусов и EDR-систем.

Исследователи в области кибербезопасности обнаружили обновлённую версию зловредного ПО ValleyRAT, распространяемую в рамках новой вредоносной кампании.
«В последней версии ValleyRAT введены новые команды, такие как захват скриншотов, фильтрация процессов, принудительное завершение работы и очистка журналов событий Windows», — https://www.zscaler.com/blogs/securi...iant-valleyrat исследователи Zscaler.
ValleyRAT ранее был задокументирован QiAnXin и Proofpoint в 2023 году в связи с фишинговой кампанией, направленной на китаеязычных пользователей и японские организации. Кампания распространяла различные семейства вредоносных программ, такие как Purple Fox и вариант трояна Gh0st RAT, известный как Sainbox RAT (он же FatalRAT).
Считается, что вредоносное ПО разработано группой, базирующейся в Китае, и обладает возможностями сбора конфиденциальной информации и внедрения дополнительных полезных нагрузок на скомпрометированные устройства.
Начальной точкой атаки является загрузчик, который использует HTTP File Server (HFS) для загрузки файла «NTUSER.DXM», который затем декодируется для извлечения DLL-библиотеки, отвечающей за загрузку «client.exe» с того же сервера.
Расшифрованный DLL также предназначен для обнаружения и завершения работы антивирусных решений с целью избежать анализа. Затем загрузчик загружает ещё три файла — «WINWORD2013.EXE», «wwlib.dll» и «xig.ppt» — с сервера HFS.
Далее вредоносное ПО запускает «WINWORD2013.EXE», законный исполняемый файл, связанный с Microsoft Word, и использует его для выполнения DLL Sideloading библиотеки «wwlib.dll», которая, в свою очередь, устанавливает постоянство в системе и загружает «xig.ppt» в память.
«Отсюда расшифрованный "xig.ppt" продолжает процесс выполнения как механизм для расшифровки и внедрения шелл-кода в "svchost.exe"» — отметили исследователи. «Вредоносное ПО создаёт "svchost.exe" как приостановленный процесс, выделяет память в этом процессе и записывает туда шелл-код».
Шелл-код, в свою очередь, содержит необходимую конфигурацию для подключения к C2-серверу и загрузки полезной нагрузки ValleyRAT в виде DLL-файла.
«ValleyRAT использует сложный многоэтапный процесс для заражения системы финальной полезной нагрузкой, выполняющей большинство вредоносных операций», — заявили исследователи. «Этот многоступенчатый подход в сочетании с использованием DLL Sideloading, вероятно, предназначен для лучшего обхода защитных решений, таких как EDR и антивирусные приложения».