SOC Prime Bias: Critique

05 Feb 2026 17:11 UTC

Chaîne d’installation factice se termine par une infection ValleyRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Chaîne d’installation factice se termine par une infection ValleyRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Un installateur trojanisé se faisant passer pour le setup de messagerie LINE a été observé en train de livrer un charge utile ValleyRAT . Construit avec NSIS et signé à l’aide d’un certificat suspect, le dropper plante plusieurs composants DLL et INI qui soutiennent l’injection de code and la persistance. Le malware communique ensuite avec deux serveurs C2 hébergés à Hong Kong pour récupérer des binaires malveillants supplémentaires. L’activité semble viser des utilisateurs sinophones et utilise des techniques avancées, notamment PoolParty Variant 7 l’injection de processus.

Enquête

Les analystes de Cybereason ont effectué des analyses statiques et dynamiques de l’installateur LINE factice et ont confirmé l’utilisation de PowerShell, rundll32, et des chargeurs DLL personnalisés. La chaîne a créé des artefacts dans %AppData% and %LocalAppData%, a établi la synchronisation via des mutex, et a enregistré la persistance par des tâches planifiées créées via RPC. Le comportement post-installation incluait une injection dans explorer.exe and UserAccountBroker.exe, cohérent avec un flux de travail d’accès à distance axé sur la discrétion. La télémétrie réseau a identifié deux adresses IP C2 à Hong Kong utilisées pour la récupération de commandes et la mise en scène de charges utiles. L’attribution a été évaluée comme cohérente avec l’activité Silver Fox et a montré des chevauchements de code avec SADBRIDGE.

Atténuation

Traquez l’installateur factice emballé par NSIS et signalez l’empreinte digitale de certificat suspecte associée à la chaîne de signature. Surveillez la création de l’ensemble de fichiers déposés par l’installateur, les modifications de registre associées et les tentatives d’ajout d’ associated with the signing chain. Monitor for creation of the installer’s dropped file set, related registry modifications, and attempts to add exclusions de Windows Defender. Bloquez la connectivité sortante vers les adresses IP C2 identifiées et appliquez des contrôles de signature de code qui rejettent les certificats invalides ou non fiables. Ajoutez des détections EDR pour les modèles d’injection de style PoolParty Variant 7et pour les séquences de création de tâches planifiées cohérentes avec la persistance basée sur RPC.

Réponse

Si une activité suspecte est détectée, isolez le point final, terminez les processus malveillants et supprimez l’installateur factice et tous les artefacts déposés. Effectuez une analyse complète des modules supplémentaires, restaurez les paramètres de Defender (y compris la suppression des exclusions non autorisées), et supprimez les tâches planifiées créées par l’attaquant. Examinez l’activité récente des utilisateurs et des hôtes pour des signes de mouvement latéral, puis escaladez vers une réponse aux incidents pour la capture de mémoire et une collecte judiciaire plus approfondie. charge utile ValleyRAT modules, restore Defender settings (including removal of unauthorized exclusions), and delete attacker-created scheduled tasks. Review recent user and host activity for signs of lateral movement, then escalate to incident response for memory capture and deeper forensic collection.

Flux d’attaque

Exécution de simulation

Condition préalable : Le contrôle de télémétrie & de baseline Pre‑flight doit avoir été satisfait.

Justification : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narration de l’attaque & Commandes :
    Un attaquant qui a déjà compromis un compte avec peu de privilèges souhaite mettre en scène une charge utile sur l’hôte compromis tout en échappant à la numérisation antivirus. L’attaquant :

    1. Utilise PowerShell pour ajouter une exclusion de Windows Defender qui couvre l’intégralité du C: lecteur, garantissant que les binaires malveillants placés là sont invisibles pour Defender.
    2. Dans le même invocation PowerShell, enregistre une tâche planifiée qui lancera la charge utile cachée (C:Malwarepayload.ps1) chaque fois qu’un processus légitime spécifique (par exemple, explorer.exe) commence, fournissant ainsi la persistance.
    3. Comme les deux actions sont combinées en une seule ligne de commande, la télémétrie correspond à la règle Sigma selection1 et selection2 condition, provoquant une alerte.
  • Script de test de régression :

    # -------------------------------------------------
    # Simulation d'installateur factice – Déclenche la règle Sigma
    # -------------------------------------------------
    # 1. Définir le chemin d'exclusion (l'ensemble du lecteur C:)
    $exclusion = "C:"
    # 2. Définir les détails de la tâche planifiée
    $taskName = "UpdateScheduler"
    $action   = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1"
    $trigger  = New-ScheduledTaskTrigger -AtLogOn
    # 3. Combiner les deux commandes en une seule ligne de commande PowerShell
    $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force"
    # 4. Invoquer la commande combinée
    Invoke-Expression $combined
  • Commandes de nettoyage :

    # -------------------------------------------------
    # Nettoyage – Supprimer l'exclusion et la tâche planifiée
    # -------------------------------------------------
    # Supprimer l'exclusion Defender pour C:
    Remove-MpPreference -ExclusionPath "C:"
    # Supprimer la tâche planifiée
    Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false