概要
人気のセキュリティソフトウェア「Huorong Security」の類似ドメインを使用した偽サイトが、ValleyRATというモジュール型リモートアクセストロイansom(RAT)を配布しています。このキャンペーンは中国語圏のユーザーを標的にしており、攻撃者は合法的な保護ソフトウェアをダウンロードしようとするユーザーに悪意のあるソフトウェアを提供します。
偽サイトの詳細
攻撃者は「huoronga[.]com」というドメインを登録し、本物の「huorong.cn」ドメインと似た構造にしています。この偽サイトはオリジナルのブランドやレイアウトを模倣しており、多くのユーザーが詐欺であることに気づかない可能性があります。
ダウンロードとインストールプロセス
ユーザーがダウンロードボタンをクリックすると、要求は中間ドメイン(hndqiuebgibuiwqdhr[.]cyou)を通じてリダイレクトされ、悪意のあるペイロードはCloudflare R2ストレージから取得されます。この操作は中国語圏のAPTグループである「Silver Fox」が実行しているとされています。
ダウンロードされたアーカイブ
ダウンロードされたアーカイブ「BR火绒445[.]zip」には、Huorongの中国語名(火绒)が含まれており、ユーザーに合法的なソフトウェアであると錯覚させるようになっています。
インストーラーの詳細
このアーカイブ内では、NSIS (Nullsoft Scriptable Install System) インストーラーが使用されており、これは通常合法的なもので、Windowsソフトウェアと同様の動作を模倣し、不審な動きを引き起こす可能性が低いです。
主要なペイロード
このマルウェアは3つの重要な要素を使用します:WavesSvc64.exe(主ローダー)、DuiLib_u.dll(DLLサイドローディング用のハックされたライブラリ)、box.ini(暗号化されたシェルコードを含むコンテナ)。
インストールと維持
このマルウェアは、Windows Defenderからのスキャンを回避するために、その作業ディレクトリやローダープロセスの除外を追加します。また、定期的に重要なファイルを削除し、再生成することでハッシュベースの検出を回避します。
ネットワーク通信
このマルウェアはTCPポート443を使用してC2サーバー(161.248.87.250)と通信し、カスタムのバイナリプロトコルを用いて暗号化されたトラフィックパターンに溶け込みます。
検出と対策
セキュリティ専門家は、Huorongからのダウンロードが「huorong.cn」からしか行われないように確認することを推奨しています。また、異常なrundll32.exeの使用やWavesSvc64.exeの実行を検出するための監視も重要です。
結論
ValleyRATは、漏洩されたビルダーによって広範囲に普及しており、組織はこのキャンペーンを継続的に進化する脅威として扱うべきです。