ValleyRAT活动针对的是中国Windows用户。了解该恶意软件的多阶段攻击、逃避检测的能力以及对受感染系统的潜在影响。了解威胁行为者的策略以及对个人和组织造成的风险。

FortiGuard实验室的一份新研究报告揭露了一项针对中国Windows用户的复杂攻击活动，该活动使用ValleyRAT恶意软件。这是一种针对电子商务、金融、销售和管理企业的多阶段恶意软件。

攻击始于一个欺骗性的诱饵，通常伪装成与金融或商业相关的合法文档，使用合法应用程序（如Microsoft Office）的图标。它会创建一个空文件并执行用于打开Microsoft Office Word文档的默认应用程序。

如果未设置默认应用程序，则会显示错误消息。一旦执行，恶意软件就会通过创建互斥锁和修改注册表项在系统上建立持久性。它还试图通过检查虚拟环境和采用混淆技术来逃避检测。

此次攻击的一个关键要素是使用shellcode。这允许恶意软件将其组件直接加载到内存中，从而绕过传统的基于文件的检测方法。然后，恶意软件与命令和控制(C2)服务器通信以下载其他组件，包括核心ValleyRAT有效载荷。

根据FortiGuard Labs周四提前分享的博客文章，ValleyRAT恶意软件归因于疑似APT组织“ Silver Fox”。该组织专注于图形化监控用户活动并向受害者系统投放插件和恶意软件。

为了增加成功率，该恶意软件采用了多种规避策略。这些策略包括禁用防病毒软件、修改注册表设置以阻止安全应用程序，以及使用睡眠混淆来阻止分析、逃避内存扫描程序并使用XOR操作对其shellcode进行编码及混淆。

ValleyRAT核心负载使攻击者能够对受感染系统进行广泛的控制。一旦进入系统，它就会支持命令来监视活动并提供任意插件，以进一步实现威胁行为者的意图。

此外，ValleyRAT还会监视用户活动、窃取数据并可能部署其他恶意负载。它通过一系列命令实现此目的，包括加载插件、捕获屏幕截图、执行文件、操纵注册表以及控制系统功能（如重启、关机和注销）。

该活动针对中国用户的特点显而易见，它使用中文诱饵，并专注于逃避流行的中国防病毒产品。该恶意软件的持久性和远程执行命令的能力使其成为受影响系统的重大威胁。