概要
新しい分析によると、悪意のあるインストーラーがMalwareBazaarにアップロードされ、これがValleyRATを拡散するSilver Foxキャンペーンの一部であることが明らかになりました。この偽のTelegramインストーラーは中国語の言語パックとして装い、実際にはValleyRATとカーネルモードのルートキットを配布します。
攻撃チェーン
この攻撃では、MSIインストーラーがVBScriptを使用してファイルを展開し、その後、PowerShellコードによって暗号化されたアーカイブが解読されます。これにより、Silver Foxツールセットが展開され、ValleyRATが起動します。
攻撃者は以下の6段階のチェーンを使用して、ValleyRATを完全に永続的な状態で実行させます:
- ステージ1-3: VBScriptとPowerShellロジックがアーカイブを再構築し、暗号化を解除します。
- ステージ4: WMIを使用して中国の消費者向けAVプロセスを確認し、DLLサイドローディングチェーンまたは直接C:\\