Istraživači su naišli na novu phishing kampanju e-pošte koja distribuiše novi ValleyRAT malver zajedno sa Sainbox RAT i Purple Fox malverom na sisteme žrtve.
Aktivna od početka 2023. godine, kampanja cilja korisnike koji govore kineski. Do sada su istraživači uočili preko 30 kampanja napada koje su koristile ove porodice malicioznog softvera i 20 kampanja od aprila 2023.
Detalji kampanje
Kampanja koristi raznovrsnu infrastrukturu, domene pošiljaoca i mamce e-pošte sa temama faktura za isporuku porodica zlonamjernog softvera.
- U jednom slučaju, e-poruke su se pretvarale da dolaze iz kineskih ureda i fakturisanih kompanija kako bi prevarili korisnike da preuzmu Sainbox RAT na svoje sisteme.
- Ovi napadi – pokrenuti između decembra 2022. i maja 2023. godine – pogodili su na desetine kompanija, uključujući one u proizvodnom i tehnološkom sektoru.
- Slično, primjećeno je da se ValleyRAT koristi kao dio kampanje od marta, sa šest napada do sada.
Iako je većina mamaca na kineskom jeziku, pronađeno je i da hakeri koriste poruke na japanskom kako bi ciljali žrtve. Na primjer, Proofpoint je pronašao najmanje tri napada koristeći teme faktura na japanskom jeziku za ciljanje organizacija u Japanu sa zlonamjernim softverom Purple Fox .
Znajte o ValleyRAT-u
- Napisan u C++ i kompajliran na kineskom jeziku, ValleyRAT uključuje funkcionalnosti tipičnog trojanca za daljinski pristup.
- Koristi raw sockete sa prilagođenim protokolom za komunikaciju sa C2 serverom.
- Nakon izvršenja, koristi MD5 algoritam za šifriranje i slanje sistemskih informacija kao što su informacije o OS-u, verzija kernela, naziv CPU-a, arhitektura i profil hardvera.
Zaključak
Istraživači predviđaju sofisticiranije napade u budućnosti s pojavom ValleyRAT-a uz starije porodice zlonamjernog softvera. Stoga se organizacijama savjetuje da u skladu s tim ojačaju svoju odbranu i budu spremne da se suoče s takvim prijetnjama u ranoj fazi. Da biste saznali šta se sprema u svijetu kibernetičke sigurnosti i koje su neke brze radnje koje treba poduzeti za ublažavanje prijetnji, neophodna je situacijska i strateška svijest.
Izvor: Cyware Alerts – Hacker News