歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
惡意程式 ValleyRAT 多階段攻擊手法鎖定中文用戶
2024 / 08 / 23
編輯部
名為 ValleyRAT 的惡意軟體,正持續對中文用戶進行攻擊。
資安研究人員指出,多階段攻擊軟體 ValleyRAT 運用各種技巧來監控和操控受害者,還能植入外掛程式造成重大傷害。另外值得注意的是,這個惡意程式大量使用 shellcode,直接在電腦記憶體中執行多個外掛程式,大幅減少檔案在受害者系統中留下足跡。
該軟體的攻擊手法最早在2024年6月揭露,但由於沒有相關郵件樣本,目前還不清楚最新版 ValleyRAT的確切散播方式,但該惡意軟體曾透過電子郵件,發送壓縮檔執行連結進行攻擊。
此攻擊分階段進行,第一階段的 first-stage loader 會先偽裝成無害的 Microsoft Office等合法程式 (例: 工商年報大師.exe 或 補單對接更新紀錄txt.exe)。檔案執行後會載入 shellcode 進入下一階段攻擊,同時確認它並非在虛擬機中運行。
該惡意程式隨後會啟動一個信標模組,連線到駭客的 C2伺服器下載兩個組件:RuntimeBroker 和RemoteShellcode。同時利用名為 fodhelper.exe 的合法 Windows 程式來取得系統管理員權限,藉此繞過使用者帳戶控制(UAC)機制的防護。
另一種提升權限的方法是濫用 CMSTPLUA COM介面,該技術曾被用於 Avaddon勒索軟體,也出現在在近期的 Hijack Loader攻擊中。為了確保惡意軟體能在電腦上順利運作,該攻擊為 Windows Defender防毒軟體設定排除規則,並根據執行檔名稱來關閉各種防毒相關的程序。
RuntimeBroker 的主要任務是從駭客的 C2伺服器取得Loader組件,除了執行與第一階相同的攻擊過程,還會檢查攻擊程式是否運作於沙箱,並掃描 Windows登錄檔中與LINE、微信和釘釘等程式,更佐證這個惡意程式是針對中文使用者所設計的推論。
另一方面,RemoteShellcode 負責從駭客的 C2 伺服器下載 ValleyRAT ,並透過 UDP 或 TCP 協定與伺服器連線以執行最終階段。這種多階段的攻擊方式,讓攻擊者能更靈活地控制惡意程式的傳播與執行。
ValleyRAT 是一款功能強大的後門程式,可以遠端操控被駭的電腦。功能包含螢幕擷取、執行檔案,以及在受害者的系統上植入惡意外掛程式,讓駭客全面掌控受害者的電腦,造成嚴重的資安威脅。
本文轉載自TheHackerNews。
多階段攻擊
C2伺服器
最新活動
2025.02.19
2025資安365年會
看更多活動
大家都在看
全球大規模暴力破解攻擊!280萬個IP鎖定防火牆、VPN等設備
MediaTek晶片的WLAN驅動程式最新漏洞影響數百萬裝置安全
台灣首例醫院大規模遭駭:馬偕醫院遭勒索軟體攻擊,資安署進駐協助
萬事達卡2030年前將取消16位卡號 改採生物辨識、網路權杖強化支付安全
Google、Discord、OpenAI攜手「ROOST計畫」免費開源工具建構AI安全網路
資安人科技網
文章推薦
Google示警國家級駭客與犯罪集團界線日趨模糊
資安驗證革新:從被動到主動防禦的典範轉移
2025雲端資安新趨勢:AI應用加速企業雲端防護轉型