HackerNews 编译,转载请注明出处:
网络安全研究人员近日发现了一系列针对中国内地、中国香港地区和中国台湾地区用户的网络攻击活动。这些攻击活动利用一种名为ValleyRAT的已知恶意软件,通过一个多阶段加载器PNGPlug来传播。
根据Intezer发布的技术报告,攻击链始于一个钓鱼网页,该网页诱导受害者下载伪装成合法软件的恶意Microsoft Installer(MSI)安装包。一旦执行,该安装包会执行两项关键任务:一是部署一个看似合法的应用程序以掩盖恶意行为;二是静默提取一个包含恶意软件负载的加密存档。
报告指出,MSI安装包利用Windows Installer的CustomAction功能执行恶意代码,包括运行一个嵌入的恶意DLL文件。该DLL文件使用硬编码密码“hello202411”解密存档(all.zip),并提取核心恶意软件组件。这些组件包括:
libcef.dll:作为加载器,通过填充大量无用代码使其体积膨胀至220MB,以此规避安全工具的检测。down.exe:一个合法应用程序,用于掩盖恶意行为。aut.png和view.png:伪装成PNG图片的恶意负载文件。PNGPlug加载器的主要功能是为恶意软件的执行准备环境。它通过将
aut.png和view.png注入内存,并通过修改Windows注册表来设置持久化,从而分别执行ValleyRAT恶意软件。ValleyRAT自2023年以来已被发现,是一种远程访问木马(RAT),能够为攻击者提供对受感染机器的未经授权的访问和控制。该恶意软件的最新版本增加了截取屏幕截图和清除Windows事件日志的功能。此外,ValleyRAT与一个名为Silver Fox的威胁组织有关联,该组织还与另一个名为Void Arachne的活动集群存在战术重叠,因为它们都使用名为Winos 4.0的命令与控制(C2)框架。
此次攻击活动的独特之处在于其针对中文用户群体,并利用软件相关的诱饵激活攻击链。安全研究员Nicole Fishbein指出:“攻击者巧妙地利用合法软件作为恶意软件的传播机制,将恶意行为与看似无害的应用程序无缝结合。PNGPlug加载器的适应性进一步加剧了威胁,因为其模块化设计使其能够针对多个攻击活动进行定制
