惡意程式 ValleyRAT 多階段攻擊手法鎖定中文用戶

名為 ValleyRAT 的惡意軟體，正持續對中文用戶進行攻擊。

資安研究人員指出，多階段攻擊軟體 ValleyRAT 運用各種技巧來監控和操控受害者，還能植入外掛程式造成重大傷害。另外值得注意的是，這個惡意程式大量使用 shellcode，直接在電腦記憶體中執行多個外掛程式，大幅減少檔案在受害者系統中留下足跡。

該軟體的攻擊手法最早在2024年6月揭露，但由於沒有相關郵件樣本，目前還不清楚最新版 ValleyRAT的確切散播方式，但該惡意軟體曾透過電子郵件，發送壓縮檔執行連結進行攻擊。

此攻擊分階段進行，第一階段的 first-stage loader 會先偽裝成無害的 Microsoft Office等合法程式 (例： 工商年報大師.exe 或 補單對接更新紀錄txt.exe)。檔案執行後會載入 shellcode 進入下一階段攻擊，同時確認它並非在虛擬機中運行。

該惡意程式隨後會啟動一個信標模組，連線到駭客的 C2伺服器下載兩個組件：RuntimeBroker 和RemoteShellcode。同時利用名為 fodhelper.exe 的合法 Windows 程式來取得系統管理員權限，藉此繞過使用者帳戶控制（UAC）機制的防護。

另一種提升權限的方法是濫用 CMSTPLUA COM介面，該技術曾被用於 Avaddon勒索軟體，也出現在在近期的 Hijack Loader攻擊中。為了確保惡意軟體能在電腦上順利運作，該攻擊為 Windows Defender防毒軟體設定排除規則，並根據執行檔名稱來關閉各種防毒相關的程序。

RuntimeBroker 的主要任務是從駭客的 C2伺服器取得Loader組件，除了執行與第一階相同的攻擊過程，還會檢查攻擊程式是否運作於沙箱，並掃描 Windows登錄檔中與LINE、微信和釘釘等程式，更佐證這個惡意程式是針對中文使用者所設計的推論。

另一方面，RemoteShellcode 負責從駭客的 C2 伺服器下載 ValleyRAT ，並透過 UDP 或 TCP 協定與伺服器連線以執行最終階段。這種多階段的攻擊方式，讓攻擊者能更靈活地控制惡意程式的傳播與執行。

ValleyRAT 是一款功能強大的後門程式，可以遠端操控被駭的電腦。功能包含螢幕擷取、執行檔案，以及在受害者的系統上植入惡意外掛程式，讓駭客全面掌控受害者的電腦，造成嚴重的資安威脅。

本文轉載自TheHackerNews。