新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
惡意程式 ValleyRAT 多階段攻擊手法鎖定中文用戶
2024 / 08 / 23
編輯部
名為 ValleyRAT 的惡意軟體,正持續對中文用戶進行攻擊。
資安研究人員指出,多階段攻擊軟體 ValleyRAT 運用各種技巧來監控和操控受害者,還能植入外掛程式造成重大傷害。另外值得注意的是,這個惡意程式大量使用 shellcode,直接在電腦記憶體中執行多個外掛程式,大幅減少檔案在受害者系統中留下足跡。
該軟體的攻擊手法最早在2024年6月揭露,但由於沒有相關郵件樣本,目前還不清楚最新版 ValleyRAT的確切散播方式,但該惡意軟體曾透過電子郵件,發送壓縮檔執行連結進行攻擊。
此攻擊分階段進行,第一階段的 first-stage loader 會先偽裝成無害的 Microsoft Office等合法程式 (例: 工商年報大師.exe 或 補單對接更新紀錄txt.exe)。檔案執行後會載入 shellcode 進入下一階段攻擊,同時確認它並非在虛擬機中運行。
該惡意程式隨後會啟動一個信標模組,連線到駭客的 C2伺服器下載兩個組件:RuntimeBroker 和RemoteShellcode。同時利用名為 fodhelper.exe 的合法 Windows 程式來取得系統管理員權限,藉此繞過使用者帳戶控制(UAC)機制的防護。
另一種提升權限的方法是濫用 CMSTPLUA COM介面,該技術曾被用於 Avaddon勒索軟體,也出現在在近期的 Hijack Loader攻擊中。為了確保惡意軟體能在電腦上順利運作,該攻擊為 Windows Defender防毒軟體設定排除規則,並根據執行檔名稱來關閉各種防毒相關的程序。
RuntimeBroker 的主要任務是從駭客的 C2伺服器取得Loader組件,除了執行與第一階相同的攻擊過程,還會檢查攻擊程式是否運作於沙箱,並掃描 Windows登錄檔中與LINE、微信和釘釘等程式,更佐證這個惡意程式是針對中文使用者所設計的推論。
另一方面,RemoteShellcode 負責從駭客的 C2 伺服器下載 ValleyRAT ,並透過 UDP 或 TCP 協定與伺服器連線以執行最終階段。這種多階段的攻擊方式,讓攻擊者能更靈活地控制惡意程式的傳播與執行。
ValleyRAT 是一款功能強大的後門程式,可以遠端操控被駭的電腦。功能包含螢幕擷取、執行檔案,以及在受害者的系統上植入惡意外掛程式,讓駭客全面掌控受害者的電腦,造成嚴重的資安威脅。
本文轉載自TheHackerNews。
多階段攻擊
C2伺服器
最新活動
2026.07.22
2026 政府資安論壇
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
中國 LLM 漏洞發現能力逼近前沿模型,專家憂攻守差距持續擴大
從Root權限淪陷到弱密碼橫行 資安院揭露網通設備四大資安痛點
幻象域名搶註:LLM 幻覺催生新型供應鏈威脅
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
超越人類監督:前沿 AI 時代的新挑戰與應對
資安人科技網
文章推薦
從法遵到實戰:台灣AI風險分類框架與ISO國際標準的治理共鳴
美國 CISA 列 Langflow 的 IDOR 漏洞入已知遭利用目錄
代理式AI席捲企業系統,機器身分數量暴增,台灣資安主管準備好了嗎?