ValleyRatマルウェアの概要
セキュリティ研究者らは、人気のある生産性向上アプリケーションのトロイの木馬化されたインストーラーを悪用し、持続的なリモートアクセスツール(RAT)であるValleyRatを展開する巧妙なマルウェアキャンペーンを明らかにしました。この作戦は、カーネルレベルドライバーの悪用、エンドポイントセキュリティの妨害、複数段階の難読化を含む高度な回避技術を特徴とし、検出を免れてシステムの長期的な侵害を確立することを目的としています。
このキャンペーンは、少なくとも2022年から活動している中国を拠点とする高度な持続的脅威(APT)グループであるSilver Foxに関連付けられています。攻撃者らは、ユーザーが日常的にダウンロードし信頼しているTelegram、WinSCP、Google Chrome、Microsoft Teamsなどの正規のインストーラーファイルを悪用しています。実行時、被害者には通常のインストール画面が表示される一方で、マルウェアは密かにペイロードを段階的に準備し、カーネルドライバーを展開し、セキュリティ防御を無効化し、攻撃者に永続的なリモートアクセスを許可するValleyRatビーコンを起動します。
巧妙な感染経路
攻撃は綿密に調整された一連のシーケンスで展開されます。初期の侵害は、スピアフィッシングや悪質な広告キャンペーンを通じて配布されたトロイの木馬化されたTelegramインストーラー(tg.exe)を被害者が実行することによって発生します。このバイナリはTelegram Desktopバージョン6.0.2を装い、正規のユーザーインターフェースを表示しながら、すぐに悪意のあるポストエクスプロイト活動を実行します。
- インストーラーは、ステージングディレクトリとして
C:\ProgramData\WindowsData\を作成します。 - 名前が変更された7-Zipバイナリと、
main.xmlと偽装されたパスワード保護アーカイブを展開します。 - PowerShellを使用して、C:ドライブ全体をMicrosoft Defenderの除外対象に追加し、システム全体のアンチウイルス保護を無効にする危険な設定変更を行います。
- パスワード
htLcENyRFYwXsHFnUnqKを使用してアーカイブが抽出され、第2段階のオーケストレーターバイナリmen.exeが生成されます。
men.exeコンポーネントは、その後の感染段階をオーケストレートします。実行中のプロセスを列挙して、Microsoft Defender、ZhuDongFangYu、360trayなどのセキュリティソフトウェア(地域的なターゲティングを示唆)を特定します。その後、追加のパスワード保護アーカイブを%PUBLIC%\Documents\WindowsData\に展開し、これにはドライバー、権限昇格ツール、永続化メカニズム、そしてValleyRatペイロードが含まれています。
高度な防御回避と永続化メカニズム
このキャンペーンでは、複数の重複する回避技術が採用されています。
- UACバイパスユーティリティは、
ICMLuaUtilの昇格されたCOMインターフェースを悪用して権限を昇格させます。 - 2つのカーネルモードドライバー(
rwdriver.sysおよび脆弱だが署名されたNSecKrnl64.sys)がリング0で動作し、エンドポイント保護を弱体化させます。 - カスタムドライバーはユーザーモードのEDRフックを回避し、イベント転送パイプラインを過負荷にすることでログ記録メカニズムを妨害し、セキュリティソリューションプロセスを繰り返し終了させます。
- 正規に署名された実行ファイル(
NtHandleCallback.exe)が悪意のあるlog.dllビーコンを実行するためにDLLサイドローディングを実行します。 - 永続性は、正規のWindowsコンポーネントを意図的に模倣した
WindowsPowerShell.WbemScripting.SWbemLocatorというスケジュールタスクを通じて維持されます。このタスクは、ログオン時にエンコードされたVBScript(X.vbe)を実行し、脆弱なドライバーローダーとValleyRatビーコンの両方をトリガーします。
さらに、アクセス制御リスト(ACL)が変更され、管理者であってもステージングディレクトリを削除できないようにされており、修復作業を困難にしています。
検知と対策
その高度さにもかかわらず、このキャンペーンには複数の信頼できる検知機会が存在します。
C:\ProgramData\WindowsData\および%PUBLIC%\Documents\WindowsData\のファイルシステム監視は、異常なステージング活動を特定します。- THORは、YARAシグネチャ、ドライバーの位置チェック、および一般的なサービス分析を通じてこれらのドライバーを検知します。
- Microsoft DefenderのオペレーショナルイベントID 5007は、疑わしい除外変更を捕捉します。
- プロセス作成ログは、パスワード保護アーカイブの抽出コマンドやUACバイパスのCLSID呼び出しを明らかにします。
- サービス作成イベントは、ユーザー書き込み可能なディレクトリからのカーネルドライバー登録を露呈します。
組織は、厳格なアプリケーション制御ポリシーを導入し、ローカル管理者の権限を制限し、パブリックユーザーディレクトリからのプロセス実行を監視し、カーネルモードドライバーの悪用やDLLサイドローディング技術を検知できる包括的なエンドポイント検知・対応(EDR)ソリューションを展開すべきです。DNSログ記録とプロセスレベルのC2検知は、ValleyRatビーコンが使用するコマンド&コントロール通信に対する追加の可視性を提供します。