Valley RAT - Mối đe dọa cũ trở lại với chiến dịch lây nhiễm mới

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
118
1.244 bài viết
Valley RAT - Mối đe dọa cũ trở lại với chiến dịch lây nhiễm mới
WhiteHat Team
Sau thời gian im ắng, Valley RAT mã độc điều khiển từ xa từng được phát hiện vào năm 2023 đã trở lại với một chiến dịch phát tán mới. Các mẫu Valley RAT chủ yếu ẩn trong tệp thực thi và tài liệu văn phòng giả mạo, mang nội dung hành chính, thư mời hội nghị hay thông báo nội bộ. Khi người dùng mở tệp, mã độc lặng lẽ cài vào hệ thống, chiếm quyền điều khiển và đánh cắp dữ liệu nhạy cảm mà nạn nhân không hề hay biết.

Valley Rat.png

Hai giai đoạn tấn công: Loader và Payload​

Theo Fortinet và Proofpoint, chiến dịch mới của Valley RAT hoạt động theo hai giai đoạn chính:
  • Giai đoạn 1: Tệp mồi (loader) hoặc tài liệu Office khởi tạo quy trình lây nhiễm.
  • Giai đoạn 2: Thành phần RAT chính được triển khai để giao tiếp với máy chủ điều khiển (C2) và duy trì quyền truy cập lâu dài.
Quá trình bắt đầu khi nạn nhân mở tệp mồi, thường được ngụy trang dưới dạng văn bản hoặc phần mềm hợp pháp. Loader này tải xuống thành phần độc hại kế tiếp từ hạ tầng phân phối động (HTTP hosting, dịch vụ lưu trữ tạm), giúp kẻ tấn công dễ dàng thay đổi payload mà không cần cập nhật tệp ban đầu. Trước khi tải xuống, downloader thực hiện các kiểm tra môi trường ở cấp runtime (phát hiện sandbox, rà tên cửa sổ công cụ phân tích, kiểm tra dấu hiệu ảo hóa hoặc cấu hình phần cứng) và chỉ tiếp tục khi hệ thống có dấu hiệu là môi trường thực tế của người dùng.

Giải mã, nạp mã và ẩn mình trong tiến trình hợp pháp​

Sau khi tải xuống, Loader giải mã tài nguyên nhúng và nạp trực tiếp vào bộ nhớ thay vì ghi file ra đĩa – một kỹ thuật giúp giảm dấu vết trên hệ thống. Thông thường, Loader được viết bằng .NET hoặc PE, trong đó payload được mã hóa và giải mã ngay trong tiến trình khởi chạy.

Tiếp đó, mã độc chèn payload vào tiến trình hợp pháp để ngụy trang hành vi. Việc thực thi trong không gian của tiến trình tin cậy giúp nó né được cơ chế giám sát hành vi, khiến hoạt động độc hại hòa lẫn với tiến trình bình thường của Windows. Kẻ tấn công thường chọn các tiến trình có độ tin cậy cao để tận dụng danh tiếng sẵn có.

Leo quyền và duy trì truy cập​

Sau khi chiếm chỗ trong tiến trình đích, Valley RAT tiến hành leo thang đặc quyền, lợi dụng cơ chế của các tiến trình hệ thống hoặc token đặc quyền để truy cập cấp cao hơn. Khi đã leo quyền thành công, mã độc có thể:
  • Vô hiệu hóa tiến trình bảo mật, ngăn công cụ tự khởi động lại
  • Chỉnh sửa cấu hình hệ thống để tránh bị gỡ bỏ
  • Thiết lập cơ chế tồn tại (persistence) trong Registry hoặc thư mục Startup
Một số biến thể còn tải DLL hoặc side-loading để tiếp tục duy trì sau khi khởi động lại máy.

Kiểm tra mục tiêu trước khi kích hoạt​

Khác với các mã độc phát tán đại trà, Valley RAT chọn lọc nạn nhân kỹ lưỡng. Trước khi hoạt động, nó kiểm tra môi trường làm việc, cấu hình mạng, ngôn ngữ và các dấu hiệu kỹ thuật khác. Nếu hệ thống không phù hợp với tiêu chí chiến dịch, mã độc tự dừng hoạt động và hiển thị lỗi giả. Cách làm này thể hiện chiến lược tấn công có mục tiêu, ưu tiên các nạn nhân thuộc khu vực hoặc lĩnh vực cụ thể.

Biện pháp chống phân tích tinh vi​

Valley RAT sở hữu nhiều kỹ thuật chống phân tích và phát hiện:
  • Dò chuỗi vendor và đặc tính ảo hóa để phát hiện sandbox
  • Rà tiêu đề cửa sổ của công cụ phân tích phổ biến (IDA, Wireshark, Process Hacker…)
  • Nếu phát hiện bị giám sát, mã độc sẽ tạm dừng hoặc thoát hoàn toàn
  • Khi liên lạc với C2, nó phát beacon ngẫu nhiên thay vì mẫu cố định, khiến việc nhận diện qua chữ ký trở nên khó khăn
  • Nhờ vậy, lưu lượng C2 của Valley RAT rất khó bị bắt hoặc phân tích bằng các giải pháp mạng truyền thống

Phạm vi chiến dịch​

Theo các báo cáo kỹ thuật, Valley RAT chủ yếu nhắm vào cộng đồng nói tiếng Trung, với các chiến dịch ghi nhận ở Trung Quốc đại lục, Hồng Kông và Đài Loan. Tuy nhiên, hoạt động của nó đã lan rộng khắp khu vực châu Á – Thái Bình Dương (APAC).

Tại Việt Nam, Cục An ninh mạng và một số đơn vị địa phương đã phát hiện mẫu Valley RAT ngụy trang dưới tên “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”, nhắm vào người dùng trong các tổ chức hành chính.

Khuyến nghị​

Để giảm thiểu rủi ro từ Valley RAT, các tổ chức và cá nhân cần:
  • Cập nhật phần mềm, hệ điều hành và công cụ bảo mật thường xuyên
    Giám sát tiến trình hệ thống, chú ý hiện tượng bị chèn mã hoặc tải DLL lạ
  • Cảnh giác với tệp đính kèm giả danh văn bản hành chính hoặc thư mời hội nghị
  • Rà soát Registry và thư mục Startup để phát hiện persistence bất thường
  • Cập nhật quy tắc EDR, giám sát lưu lượng mạng phát beacon tới C2
  • Khi nghi ngờ nhiễm, cách ly thiết bị, thu thập log và báo cáo ngay cho Cục An ninh mạng hoặc bộ phận IT phụ trách
Valley RAT cho thấy rằng sức mạnh của một chiến dịch tấn công không nằm ở công cụ, mà ở sự am hiểu về nạn nhân và bối cảnh hoạt động. Việc kết hợp đồng thời giữa Threat intelligence, hiểu rõ hành vi giao tiếp nội bộ và thói quen người dùng sẽ giúp các đội bảo mật phát hiện sớm các dấu hiệu xâm nhập, từ đó phản ứng kịp thời, trước khi kẻ tấn công kịp bám rễ vào hệ thống.

Tổng hợp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Operation Zero Disco: Từ lỗ hổng SNMP đến rootkit ẩn mình trên thiết bị Cisco
  • Mã độc “SilentSync RAT” ẩn trong gói Python, đe dọa Windows, macOS và Linux
  • Buterat Backdoor – Mối đe dọa dai dẳng trong mạng doanh nghiệp
  • Phát hiện mã độc JScript tinh vi lợi dụng Internet Archive để phát tán Remcos RAT
  • Sự trỗi dậy của AsyncRAT và những nhánh mã độc mang tính tùy biến cao
  • Quảng cáo giả mạo Kling AI trên Facebook phát tán mã độc RAT, đánh cắp dữ liệu
    • Thẻ
    valley rat
    Bên trên