歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
惡意程式 ValleyRAT 多階段攻擊手法鎖定中文用戶
2024 / 08 / 23
編輯部
名為 ValleyRAT 的惡意軟體,正持續對中文用戶進行攻擊。
資安研究人員指出,多階段攻擊軟體 ValleyRAT 運用各種技巧來監控和操控受害者,還能植入外掛程式造成重大傷害。另外值得注意的是,這個惡意程式大量使用 shellcode,直接在電腦記憶體中執行多個外掛程式,大幅減少檔案在受害者系統中留下足跡。
該軟體的攻擊手法最早在2024年6月揭露,但由於沒有相關郵件樣本,目前還不清楚最新版 ValleyRAT的確切散播方式,但該惡意軟體曾透過電子郵件,發送壓縮檔執行連結進行攻擊。
此攻擊分階段進行,第一階段的 first-stage loader 會先偽裝成無害的 Microsoft Office等合法程式 (例: 工商年報大師.exe 或 補單對接更新紀錄txt.exe)。檔案執行後會載入 shellcode 進入下一階段攻擊,同時確認它並非在虛擬機中運行。
該惡意程式隨後會啟動一個信標模組,連線到駭客的 C2伺服器下載兩個組件:RuntimeBroker 和RemoteShellcode。同時利用名為 fodhelper.exe 的合法 Windows 程式來取得系統管理員權限,藉此繞過使用者帳戶控制(UAC)機制的防護。
另一種提升權限的方法是濫用 CMSTPLUA COM介面,該技術曾被用於 Avaddon勒索軟體,也出現在在近期的 Hijack Loader攻擊中。為了確保惡意軟體能在電腦上順利運作,該攻擊為 Windows Defender防毒軟體設定排除規則,並根據執行檔名稱來關閉各種防毒相關的程序。
RuntimeBroker 的主要任務是從駭客的 C2伺服器取得Loader組件,除了執行與第一階相同的攻擊過程,還會檢查攻擊程式是否運作於沙箱,並掃描 Windows登錄檔中與LINE、微信和釘釘等程式,更佐證這個惡意程式是針對中文使用者所設計的推論。
另一方面,RemoteShellcode 負責從駭客的 C2 伺服器下載 ValleyRAT ,並透過 UDP 或 TCP 協定與伺服器連線以執行最終階段。這種多階段的攻擊方式,讓攻擊者能更靈活地控制惡意程式的傳播與執行。
ValleyRAT 是一款功能強大的後門程式,可以遠端操控被駭的電腦。功能包含螢幕擷取、執行檔案,以及在受害者的系統上植入惡意外掛程式,讓駭客全面掌控受害者的電腦,造成嚴重的資安威脅。
本文轉載自TheHackerNews。
多階段攻擊
C2伺服器
最新活動
2025.06.18
資安人講堂:四大面向打造「無邊界・零信任」極致安全架構
2025.06.25
資安人講堂:構築製造業資安核心 – 零信任架構的落地實戰
2025.06.19
掌握 EOS 風險與升級攻略:別讓舊系統成為資安破口
2025.06.24
漢昕科技X線上資安黑白講【檔案安全新防線,資料外洩零容忍——企業資安全面升級】2025/6/24全面開講!
2025.06.25
拆解 ISO 27001 報價公式:控好預算、加速資安合規
2025.06.27
以資安及風險角度重塑企業韌性
2025.06.27
以資安及風險角度重塑企業韌性
2025.07.09
AI應用下的資安風險
看更多活動
大家都在看
3.5萬套太陽能發電系統暴露於網路成駭客攻擊目標
中國駭客集團發動「ShadowPad」與「PurpleHaze」雙重攻擊,資安商成目標
Microsoft 推出 2025年6月 Patch Tuesday 每月例行更新修補包
新型供應鏈惡意軟體攻擊鎖定 npm 與 PyPI 生態,影響全球數百萬用戶
Mirai 殭屍網路鎖定 Wazuh 開源資安平台漏洞發動攻擊
資安人科技網
文章推薦
Jamf發表AI驅動的Apple裝置管理與強化資安功能
EchoLeak 揭示新型態的零點擊AI資安漏洞「LLM範疇突破」
光盾資訊促台日金融資安高層關鍵對話