Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новые кибератаки на китайскоязычные регионы: угроза ValleyRAT

2 мин
В последние месяцы наблюдается серия целенаправленных кибератак на организации в китайскоязычных регионах, таких как Гонконг, Тайвань и Китай. Злоумышленники используют многоступенчатый загрузчик PNGPlug для доставки вредоносного ПО ValleyRAT, что подчеркивает возрастующее мастерство киберпреступников. Атака начинается с фишинговой веб-страницы, которая обманом заставляет жертву загрузить вредоносный пакет MSI, замаскированный под легальное программное обеспечение. Этот пакет MSI содержит загрузчик PNGPlug, который выполняет следующие действия: ValleyRAT, приписываемая группе Silver Fox APT, использует передовые методы, такие как: Этапы создания вредоносной программы включают начальное выполнение, развертывание запутанного шелл-кода и получение дополнительных компонентов с сервера управления. Кампания, нацеленная на организации, говорящие на китайском языке, демонстрирует целенаправленный подход и использование легального программного обеспечения как средства доставки вредоносных прогр
Оглавление

В последние месяцы наблюдается серия целенаправленных кибератак на организации в китайскоязычных регионах, таких как Гонконг, Тайвань и Китай. Злоумышленники используют многоступенчатый загрузчик PNGPlug для доставки вредоносного ПО ValleyRAT, что подчеркивает возрастующее мастерство киберпреступников.

Механизм атак

Атака начинается с фишинговой веб-страницы, которая обманом заставляет жертву загрузить вредоносный пакет MSI, замаскированный под легальное программное обеспечение. Этот пакет MSI содержит загрузчик PNGPlug, который выполняет следующие действия:

  • Извлекает зашифрованный архив с компонентами вредоносного ПО;
  • Устанавливает исправления ntdll.dll для внедрения в память;
  • Анализирует аргументы командной строки;
  • Обнаруживает антивирусное программное обеспечение перед выполнением вредоносных процессов;
  • Загружает в память файлы, такие как aut.png и view.png, маскируя их под изображения в формате PNG;
  • Проверяет наличие 360 Total Security для избежания обнаружения.

Вредоносная программа ValleyRAT и ее особенности

ValleyRAT, приписываемая группе Silver Fox APT, использует передовые методы, такие как:

  • Выполнение шеллкода;
  • Обфускация;
  • Повышение привилегий;
  • Механизмы сохранения для поддержки контроля над зараженными системами.

Этапы создания вредоносной программы включают начальное выполнение, развертывание запутанного шелл-кода и получение дополнительных компонентов с сервера управления.

Текущие угрозы и рекомендации

Кампания, нацеленная на организации, говорящие на китайском языке, демонстрирует целенаправленный подход и использование легального программного обеспечения как средства доставки вредоносных программ. Основные выводы из отчета подчеркивают:

  • Уникальную нацеленность злоумышленников;
  • Фишинговые методы и инструменты шпионажа;
  • Важность надежных мер кибербезопасности против изощренных хакеров.

Адаптивность и скрытный характер атак иллюстрируют необходимость постоянного совершенствования средств защиты от кибербезопасности для эффективного противодействия развивающимся угрозам. Как заявил один из экспертов в области кибербезопасности: «Нельзя недооценивать способность злоумышленников к адаптации и использованию новых технологий».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новые кибератаки на китайскоязычные регионы: угроза ValleyRAT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.