Multi-Stage ValleyRAT richt zich op Chinese gebruikers met geavanceerde tactieken

Chinees sprekende gebruikers zijn het doelwit van een lopende campagne die malware verspreidt die bekendstaat als ValleyRAT.

“ValleyRAT is een malware die uit meerdere fasen bestaat en die gebruikmaakt van diverse technieken om zijn slachtoffers te monitoren en te controleren. Ook worden er willekeurige plug-ins ingezet om verdere schade aan te richten”, aldus Eduardo Altares en Joie Salvio, onderzoekers van Fortinet FortiGuard Labs.

“Een ander opvallend kenmerk van deze malware is het intensieve gebruik van shellcode om de vele componenten rechtstreeks in het geheugen uit te voeren. Hierdoor wordt de bestandsvoetafdruk op het systeem van het slachtoffer aanzienlijk verkleind.”

Details over de campagne kwamen voor het eerst naar buiten in juni 2024, toen Zscaler ThreatLabz aanvallen beschreef waarbij een bijgewerkte versie van de malware werd gebruikt.

Hoe de nieuwste versie van ValleyRAT precies wordt gedistribueerd, is momenteel niet bekend. Eerdere campagnes maakten echter gebruik van e-mailberichten met URL’s die verwezen naar gecomprimeerde uitvoerbare bestanden.

De aanvalsreeks bestaat uit meerdere fasen en begint met een eerste-fase-lader die legitieme applicaties zoals Microsoft Office imiteert om ze onschadelijk te laten lijken (bijvoorbeeld “工商年报大师.exe” of “补单对接更新记录txt.exe” ).

Het starten van het uitvoerbare bestand zorgt ervoor dat het decoy-document wordt verwijderd en de shellcode wordt geladen om door te gaan naar de volgende fase van de aanval. De loader onderneemt ook stappen om te valideren dat deze niet op een virtuele machine draait.

De shellcode is verantwoordelijk voor het initiëren van een bakenmodule die contact maakt met een command-and-control (C2)-server om twee componenten te downloaden – RuntimeBroker en RemoteShellcode – naast het instellen van persistentie op de host en het verkrijgen van beheerdersrechten door een legitiem binair bestand met de naam fodhelper.exe te exploiteren en een UAC-bypass te bereiken.

De tweede methode die wordt gebruikt voor privilege-escalatie betreft het misbruik van de CMSTPLUA COM-interface, een techniek die eerder werd toegepast door kwaadwillenden die verbonden waren met de Avaddon-ransomware en die ook werd waargenomen in recente Hijack Loader-campagnes.

Om er zeker van te zijn dat de malware ongehinderd op de computer kan worden uitgevoerd, worden er uitsluitingsregels voor Microsoft Defender Antivirus geconfigureerd en worden verschillende antivirusgerelateerde processen beëindigd op basis van overeenkomende uitvoerbare bestandsnamen.

De primaire taak van RuntimeBroker is om van de C2-server een component met de naam Loader op te halen. Deze component functioneert op dezelfde manier als de loader van de eerste fase en voert de beaconingmodule uit om het infectieproces te herhalen.

De Loader-payload vertoont ook enkele opvallende kenmerken, waaronder het uitvoeren van controles om te zien of het in een sandbox wordt uitgevoerd en het scannen van het Windows-register op sleutels die verband houden met apps zoals Tencent WeChat en Alibaba DingTalk. Dit versterkt de hypothese dat de malware uitsluitend op Chinese systemen is gericht.

RemoteShellcode is daarentegen geconfigureerd om de ValleyRAT-downloader op te halen van de C2-server, die vervolgens UDP- of TCP-sockets gebruikt om verbinding te maken met de server en de uiteindelijke payload te ontvangen.

ValleyRAT, toegeschreven aan een dreigingsgroep genaamd Silver Fox, is een volledig uitgeruste backdoor die gecompromitteerde werkstations op afstand kan besturen. Het kan screenshots maken, bestanden uitvoeren en extra plug-ins laden op het systeem van het slachtoffer.

“Deze malware bestaat uit verschillende componenten die in verschillende fasen worden geladen en gebruikt voornamelijk shellcode om ze rechtstreeks in het geheugen uit te voeren. Hierdoor wordt de hoeveelheid bestanden die in het systeem worden getraceerd aanzienlijk verminderd”, aldus de onderzoekers.

“Zodra de malware voet aan de grond krijgt in het systeem, ondersteunt het opdrachten waarmee de activiteiten van het slachtoffer kunnen worden gemonitord en willekeurige plug-ins kunnen worden geleverd om de intenties van de kwaadwillende actoren te ondersteunen.”

De ontwikkeling komt te midden van aanhoudende spamcampagnes die proberen misbruik te maken van een oude kwetsbaarheid in Microsoft Office (CVE-2017-0199) om schadelijke code uit te voeren en GuLoader, Remcos RAT en Sankeloader te verspreiden.

“CVE-2017-0199 is nog steeds gericht op het uitvoeren van externe code vanuit een XLS-bestand”, aldus Symantec, eigendom van Broadcom. “De campagnes leverden een kwaadaardig XLS-bestand met een link waarmee een extern HTA- of RTF-bestand zou worden uitgevoerd om de uiteindelijke payload te downloaden.”

Thijs Van der Does