SOC Prime Bias: Критичний

05 Feb 2026 20:11
newspaper icon cybereason.com

Ланцюг фальшивих установників закінчується інфекцією ValleyRAT

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Ланцюг фальшивих установників закінчується інфекцією ValleyRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Троянський інсталятор, що маскується під LINE налаштування месенджера, було виявлено при доставці ValleyRAT пейлоаду. Побудований з використанням NSIS і підписаний підозрілим сертифікатом, дроппер встановлює декілька DLL та INI компонентів для підтримки ін’єкції коду and персистенції. Після цього шкідливе ПЗ з’єднується з двома Hong Kong–розташованими C2 серверами, щоб завантажити додаткові шкідливі бінарії. Атака, схоже, спрямована на користувачів, які говорять китайською мовою, та використовує просунуту тактику, включаючи PoolParty Variant 7 ін’єкцію процесу.

Розслідування

Аналітики Cybereason провели статичний і динамічний аналіз фальшивого інсталятора LINE і підтвердили використання PowerShell, rundll32 і кастомних завантажувачів DLL. Ланцюжок створив артефакти в %AppData% and %LocalAppData%, встановив синхронізацію через м’ютекси, і зареєстрував персистенцію через заплановані завдання , створені через RPC. Після встановлення поведінка включала ін’єкцію в explorer.exe and UserAccountBroker.exe, що узгоджується з протоколом віддаленого доступу з акцентом на прихованість. Телеметрія мережі ідентифікувала дві IP-адреси C2 в Гонконгу, які використовуються для отримання команд і підготовки пейлоаду. Атрибуція була оцінена як узгоджена з активністю Silver Fox і показала кодові збіги з SADBRIDGE.

Пом’якшення

Шукайте NSIS-упакований фальшивий інсталятор і надавайте попередження про підозрілий слід сертифіката , пов’язаний з ланцюгом підписання. Моніторьте створення файлів, що з’являються після встановлення, зміни в реєстрі та спроби додати виключення Windows Defender. Заблокуйте вихідне підключення до визначених C2 IP і застосуйте контролі підпису коду, які відхиляють недійсні або ненадійні сертифікати. Додайте EDR-детекції для шаблонів ін’єкції PoolParty Variant 7-стилю і для створення запланованих завдань, які узгоджуються з RPC-основною персистенцією.

Відповідь

Якщо виявлено підозрілу активність, ізолюйте кінцеву точку, зупиніть шкідливі процеси і видаліть фальшивий інсталятор і всі розгорнуті артефакти. Проведіть повну перевірку на наявність додаткових ValleyRAT модулів, відновіть налаштування Defender (включаючи видалення несанкціонованих виключень) і видаліть створені зловмисником заплановані завдання. Перегляньте останню активність користувачів і хостів на предмет ознак бічного переміщення, після чого передайте на реагування на інциденти для захоплення пам’яті та глибшого судово-медичного збору.

graph TB %% Визначення класів classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ff9999 classDef malware fill:#ccffcc classDef network fill:#dddddd %% Вузли tech_user_exec[“<b>Техніка</b> – <b>T1204 Виконання користувачем</b><br/><b>Опис</b>: Жертва запускає шкідливий фальшивий інсталятор (LineInstaller.exe), маскуючись під легітимний LINE інсталятор.”] class tech_user_exec technique tech_masquerade[“<b>Техніка</b> – <b>T1036 Маскування</b><br/><b>Опис</b>: Інсталятор імітує назву легітимного ПЗ та використовує сертифікат підпису коду, який виглядає дійсним.”] class tech_masquerade technique tech_event_exec[“<b>Техніка</b> – <b>T1546.016 Виконання за подією: Пакети інсталятора</b><br/><b>Опис</b>: Інсталятор на основі NSIS виконується з підвищеними привілеями через UAC.”] class tech_event_exec technique tech_powershell[“<b>Техніка</b> – <b>T1059.001 PowerShell</b><br/><b>Опис</b>: PowerShell додає шляхи виключень для Windows Defender та готує скрипти для постійної присутності.”] class tech_powershell technique tech_regsvr32[“<b>Техніка</b> – <b>T1218.010 Виконання проксі Regsvr32</b><br/><b>Опис</b>: Заплановане завдання викликає regsvr32.exe для запуску DllRegisterServer в intel.dll.”] class tech_regsvr32 technique tech_rundll32[“<b>Техніка</b> – <b>T1218.011 Виконання проксі Rundll32</b><br/><b>Опис</b>: rundll32.exe запускає DllRegisterServer з intel.dll.”] class tech_rundll32 technique tech_sched_task[“<b>Техніка</b> – <b>T1053 Заплановане завдання</b><br/><b>Опис</b>: Шкідливі заплановані завдання створюються через виклики RPC до служби планувальника завдань.”] class tech_sched_task technique tech_sandbox_evasion[“<b>Техніка</b> – <b>T1497.002 Виявлення/уникнення Sandbox</b><br/><b>Опис</b>: intel.dll перевіряє блокування файлів і мютекси, щоб виявити середовище sandbox.”] class tech_sandbox_evasion technique tech_pe_injection[“<b>Техніка</b> – <b>T1055.002 Ін’єкція процесів: Portable Executable</b><br/><b>Опис</b>: intel.dll та sangee.ini ін’єктують shellcode в Explorer.exe за допомогою PoolParty Variant 7.”] class tech_pe_injection technique tech_apc_injection[“<b>Техніка</b> – <b>T1055.004 Ін’єкція процесів: Asynchronous Procedure Call</b><br/><b>Опис</b>: Ін’єкція використовує ZwSetIoCompletion з дескриптором I/O Completion Port.”] class tech_apc_injection technique tech_exploit_defense[“<b>Техніка</b> – <b>T1211 Використання для уникнення захисту</b><br/><b>Опис</b>: Malware викликає SetTcpEntry для видалення TCP-з’єднань компонентів безпеки.”] class tech_exploit_defense technique tech_obfuscation[“<b>Техніка</b> – <b>T1027.005 Обфускація файлів: видалення індикаторів</b><br/><b>Опис</b>: Перевірки анти-сандбокс і анти-аналіз приховують артефакти та перешкоджають виконанню в аналітичних середовищах.”] class tech_obfuscation technique tech_web_service[“<b>Техніка</b> – <b>T1102 Веб-служба</b><br/><b>Опис</b>: Остаточний payload ValleyRat отримується з віддалених C2 серверів через стандартний TCP.”] class tech_web_service technique file_lineinstaller[“<b>Файл</b> – <b>Назва</b>: LineInstaller.exe<br/><b>Тип</b>: NSIS інсталятор”] class file_lineinstaller file file_inteldll[“<b>Файл</b> – <b>Назва</b>: intel.dll<br/><b>Тип</b>: DLL для проксі- та ін’єкційних операцій”] class file_inteldll file file_sangee[“<b>Файл</b> – <b>Назва</b>: sangee.ini<br/><b>Призначення</b>: Конфігурація для ін’єкційних процедур”] class file_sangee file file_policyxml[“<b>Файл</b> – <b>Назва</b>: policyManagement.xml<br/><b>Призначення</b>: Визначає параметри запланованого завдання”] class file_policyxml file file_updatedps1[“<b>Файл</b> – <b>Назва</b>: updated.ps1<br/><b>Призначення</b>: PowerShell скрипт для постійності”] class file_updatedps1 file malware_valleyrat[“<b>Шкідливе ПЗ</b> – <b>Назва</b>: ValleyRat<br/><b>Роль</b>: Остаточний payload, доставлений жертві”] class malware_valleyrat malware process_regsvr32[“<b>Процес</b> – <b>Назва</b>: regsvr32.exe”] class process_regsvr32 process process_rundll32[“<b>Процес</b> – <b>Назва</b>: rundll32.exe”] class process_rundll32 process process_explorer[“<b>Процес</b> – <b>Назва</b>: Explorer.exe”] class process_explorer process network_c2[“<b>Мережа</b> – <b>C2 Сервери</b>: 143.92.38.217:18852, 206.238.221.165:443”] class network_c2 network %% Зв’язки tech_user_exec –>|ініціює| file_lineinstaller file_lineinstaller –>|тригерить| tech_masquerade tech_masquerade –>|активує| tech_event_exec tech_event_exec –>|підвищує до| process_regsvr32 process_regsvr32 –>|викликає| file_inteldll file_inteldll –>|реєструється через| tech_regsvr32 tech_regsvr32 –>|також використовує| process_rundll32 process_rundll32 –>|завантажує| file_inteldll tech_rundll32 –>|також завантажує| file_inteldll file_inteldll –>|створює| tech_sched_task tech_sched_task –>|створює завдання через| file_policyxml tech_sched_task –>|виконує| file_updatedps1 file_updatedps1 –>|виконує PowerShell команди для| tech_powershell tech_powershell –>|додає виключення та готує| tech_sandbox_evasion tech_sandbox_evasion –>|перевіряє середовище перед| tech_pe_injection tech_pe_injection –>|ін’єктує в| process_explorer tech_pe_injection –>|використовує| tech_apc_injection tech_apc_injection –>|задіє| tech_exploit_defense tech_exploit_defense –>|порушує роботу безпекових інструментів| file_sangee tech_obfuscation –>|приховує артефакти для| malware_valleyrat malware_valleyrat –>|отриманий з| network_c2 network_c2 –>|доставляє payload через| tech_web_service tech_web_service –>|остаточна доставка до| process_explorer

Потік атаки

Детекції

Можливе створення запланованого завдання (через powershell)

Команда SOC Prime
04 лютого 2026

Переглянути

Підозріле заплановане завдання (через аудит)

Команда SOC Prime
04 лютого 2026

Переглянути

Підозріла шлях виконання Rundll32 Dll (через process_creation)

Команда SOC Prime
04 лютого 2026

Переглянути

Підозрілі зміни в налаштуваннях Windows Defender (через powershell)

Команда SOC Prime
04 лютого 2026

Переглянути

LOLBAS Regsvr32 (через cmdline)

Команда SOC Prime
04 лютого 2026

Переглянути

IOCs (DestinationIP) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT

Правила SOC Prime AI
04 лютого 2026

Переглянути

IOCs (HashSha1) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT

Правила SOC Prime AI
04 лютого 2026

Переглянути

IOCs (SourceIP) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT

Правила SOC Prime AI
04 лютого 2026

Переглянути

Виявлення фальшивого інсталятора з використанням виключень Windows Defender і запланованих завдань [Windows Powershell]

Правила SOC Prime AI
04 лютого 2026

Переглянути

Виконання симуляції

Передумови: телеметрія та перевірка базового стану повинні пройти.

Обґрунтування: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні безпосередньо відображати визначені TTP і націлюються на генерацію точної телеметрії, очікуваної логікою виявлення.

  • Атака та команди:
    Атакуючий, який вже скомпрометував обліковий запис з низькими привілеями, бажає встановити пейлоад на скомпрометований хост, уникаючи сканування антивірусом. Атакуючий:

    1. Використовує PowerShell для додавання виключень Windows Defender, що охоплюють весь C: диск, що забезпечує невидимість будь-яких шкідливих бінарів, які там розміщені, для Defender.
    2. У тієї ж сесії PowerShell, реєструє заплановане завдання, яке запускає прихований пейлоад ( ) кожного разу, коли запускається конкретний легітимний процес (наприклад, ) кожного разу, коли запускається конкретний легітимний процес (наприклад, ) every time a specific legitimate process (e.g., explorer.exe), забезпечуючи персистенцію.
    3. Оскільки обидві дії поєднуються в одній командній лінії, телеметрія відповідає умові відбору selection1 і selection2 правила Sigma, викликаючи сповіщення.

  • Скрипт тестування регресії:

    # -------------------------------------------------
# Імітація фальшивого інсталятора – запускає правило Sigma
# -------------------------------------------------
# 1. Визначте шлях виключення (цілий диск C:)
$exclusion = "C:"
# 2. Визначте деталі запланованого завдання
$taskName = "UpdateScheduler"
$action   = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1"
$trigger  = New-ScheduledTaskTrigger -AtLogOn
# 3. Поєднайте команди в одну команду PowerShell
$combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force"
# 4. Виконуйте об'єднану команду
Invoke-Expression $combined

  • Команди очищення:

    # -------------------------------------------------
# Очищення – видалення виключення та запланованого завдання
# -------------------------------------------------
# Видаліть виключення Defender для C:
Remove-MpPreference -ExclusionPath "C:"
# Видаліть заплановане завдання
Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно