TTL OSINT
УПРАВЛЯЙТЕ РИСКАМИ — НЕ ЖДИТЕ АТАК
Пентест для устойчивости и соответствия требованиям
Реалистичная проверка внешнего периметра: выявляем уязвимости до злоумышленников и подтверждаем готовность вашего бизнеса к киберугрозам.
ПротестироватьГлубокое погружение в новую кампанию ValleyRAT, ориентированную на носителей китайского языка
Компания FortiGuard Labs обнаружила новую кампанию ValleyRAT, ориентированную на носителей китайского языка, которая использует вредоносные документы Microsoft Office для заражения компьютеров под управлением Windows. Вредоносная программа после запуска создает мьютекс, удаляет определенные записи реестра и сохраняет IP-адрес и порт системы управления (C2) в реестре. Он также проверяет наличие сред для виртуальных машин и обфускирует свой шелл-код, используя обфускацию в режиме ожидания и XOR-кодирование, чтобы избежать сканирования памяти. Модуль обнаружения вредоносных программ загружает компоненты RuntimeBroker и Remote Shellcode и сохраняется в системе, добавляя запланированную задачу и злоупотребляя свойствами автоматического повышения уровня безопасности законных приложений. Чтобы избежать обнаружения, программа добавляет корневой диск, на котором находится путь к вредоносному ПО, в поле "Исключение" в защитнике Microsoft Windows и завершает процессы, связанные с AV. Если пользователь обладает правами администратора, вредоносное ПО пытается запустить новый процесс с повышенными привилегиями, используя класс CMSTPLUA COM или fodhelper.exe.
Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.
Ссылка:https://www.fortinet.com/blog/threat-research/valleyrat-campaign-targeting-chinese-speakers
Выборочные показатели Compromise:
- fb73e089d0a276617b9a213080f84d0e411592c7db5548790e3fe1c53295f5a3
- d208b80a6608c72c3c590f86d93b074533c0c4ef8a46b6d36ed52cc2b4c179d5
- 02c8f22e9d2df7e051fffc49c7d2d240787fbe8395b4c3c96be40b5a111a03ce
- d63792ee67c6f1702188695387c64991029dabd702d48eac3ea3f0eef280d4a1
- 17ff585fadcf40e25ad9d09cf007d20f6691ccf31d93a5d48d25f7e811cb0ca4
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
НКЦКИ (ГосСОПКА):
Соблюдайте требования государства — защищайте бизнес
Подключение к НКЦКИ — это гарантия соответствия 187-ФЗ.
Подключиться