1. 概要:進化する金融スパイウェア「ValleyRAT_S2」
「ValleyRAT_S2」として知られる洗練された第2段階のマルウェアペイロードが、中国語圏(中国本土、香港、台湾、東南アジア)の組織にとって重大な脅威として浮上しています。C++で記述されたこのリモートアクセス型トロイの木馬(RAT)は、モジュール型で高度に回避的なサイバースパイツールであり、システムに侵入し、持続的なアクセスを維持し、機密性の高い金融および運用データを抽出するように設計されています。
第1段階の攻撃がシステム侵入と回避技術を担当するのに対し、この第2段階は、重要なバックドア機能、コマンド&コントロール(C2)通信、永続化メカニズム、および包括的なシステム偵察操作を実行します。このマルウェアは、組織の防御を突破するために洗練された配布方法を採用しています。
2. 巧妙な配布戦略と感染経路
ValleyRAT_S2は、第1段階のペイロードによる最初の感染が成功した後、ValleyRATマルウェアファミリーの機能の中核として動作します。攻撃者は、特に「AI表格生成工具」(AIベースのスプレッドシートジェネレーター)として販売されているツール、クラックされたソフトウェアのダウンロード、および正規に見せかけた中国語のユーティリティの中にValleyRAT_S2を偽装させます。このソーシャルエンジニアリングのアプローチは、地域の組織に対して特に効果的であることが証明されています。
特に危険な配信メカニズムには、DLLサイドローディングが含まれます。これは、正規の署名付きアプリケーションが改変され、同じディレクトリに配置された悪意のあるDLLをロードするように仕向けられる手法です。このマルウェアは、steam_api64.dllやapphelp.dllなどの一般的なライブラリ名を巧妙に模倣し、適切なエクスポート機能を維持することで、正当性を装います。この手法により、署名ベースのアンチウイルス検出を効果的に回避し、UAC(ユーザーアカウント制御)保護を迂回します。
追加の配布ベクトルには、悪意のあるドキュメント添付ファイル(.doc、.xls、.pdf)を含む標的型フィッシングメールキャンペーン、偽装された実行可能ファイルを含む圧縮アーカイブ、および人気のローカル中国製ソフトウェアの正規アップデートメカニズムの悪用が含まれます。
3. 高度な技術機能とシステムへの影響
ValleyRAT_S2は、包括的なシステム列挙を実行し、オペレーティングシステム情報、ロケール設定、レジストリデータ、インストール済みソフトウェアの詳細を収集します。マルウェアは、隠しドライブ、リムーバブルメディア、ネットワーク共有をスキャンし、WindowsスナップショットAPIを使用して実行中のプロセスを列挙します。この偵察フェーズは、攻撃者に組織の完全な技術的フットプリントを提供します。
マルウェアは、COM APIを介したタスクスケジューラの統合と、ボリュームシャドウコピーの操作を通じて高度な永続化技術を実装します。そのDLLマスカーレディング機能は、正規のシステムライブラリのシームレスな偽装を可能にし、サンドボックス検出ヒューリスティクスは、セキュリティ研究者を回避するための分析環境を特定します。
コードインジェクションメカニズムは、スレッドコンテキスト操作、WriteProcessMemoryおよびCreateRemoteThread APIを介したメモリインジェクション、キーロギングのためのWindows Hook統合などの洗練された技術を活用します。マルウェアは、特定されたIPアドレス「27.124.3.175:14852」を含むハードコードされたエンドポイントを通じて堅牢なコマンド&コントロール(C2)インフラを確立し、無害なトラフィックパターンを模倣するカスタムTCPベースのプロトコルを使用します。
4. 脅威の行動分析と検出回避
分析によると、マルウェアの初期化にはSteam APIコンテキストの設定と動的な関数ポインタの解決が関与しています。マルウェアは、正規のSteamイベントに偽装したコールバックを実行し、永続性と同期のためにタイミングメカニズムを使用します。生成されたバッチスクリプトは、プロセス実行を監視し、マルウェアが終了した場合に自動的に再起動するウォッチドッグメカニズムを作成します。
マルウェアは、システムの%TEMP%ディレクトリに一時的な環境ステージングを構築し、プロセス間連携と自動実行のためにtarget.pidやmonitor.batなどのファイルを生成します。環境パスの解決は、マルウェアデータをステージングするためにAppData\Roamingディレクトリをターゲットとし、メモリ構築はユーザーの疑念を回避するためにTelegra.exeやWhatsApp.exeのような正規に見える実行可能ファイル名を構築します。
技術分析では、ValleyRAT_S2がMITRE ATT&CKフレームワークの複数のカテゴリにマッピングされることが示されています。これには、初期アクセスとしてのフィッシング、権限昇格のためのプロセスインジェクション、防御回避のためのDLLサイドローディング、および包括的なシステム検出が含まれます。マルウェアの機能は、キーロギングやローカルデータ収集から、確立されたC2チャネルを介したデータ抜き取りに及び、ボリュームシャドウコピーの操作は、ランサムウェアステージングの可能性を示唆しています。
5. 組織への対策勧告
標的となる地域で事業を展開する組織は、堅牢な検出戦略、従業員のセキュリティ意識向上トレーニング、およびエンドポイント保護ソリューションを導入する必要があります。特に、DLLサイドローディングの試行や疑わしいプロセスインジェクション活動を特定できるようにこれらのソリューションを構成することが重要です。