SOC Prime Bias: Критичний

05 Feb 2026 17:11 UTC

Ланцюг фальшивих установників закінчується інфекцією ValleyRAT

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Ланцюг фальшивих установників закінчується інфекцією ValleyRAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Троянський інсталятор, що маскується під LINE налаштування месенджера, було виявлено при доставці ValleyRAT пейлоаду. Побудований з використанням NSIS і підписаний підозрілим сертифікатом, дроппер встановлює декілька DLL та INI компонентів для підтримки ін’єкції коду and персистенції. Після цього шкідливе ПЗ з’єднується з двома Hong Kong–розташованими C2 серверами, щоб завантажити додаткові шкідливі бінарії. Атака, схоже, спрямована на користувачів, які говорять китайською мовою, та використовує просунуту тактику, включаючи PoolParty Variant 7 ін’єкцію процесу.

Розслідування

Аналітики Cybereason провели статичний і динамічний аналіз фальшивого інсталятора LINE і підтвердили використання PowerShell, rundll32 і кастомних завантажувачів DLL. Ланцюжок створив артефакти в %AppData% and %LocalAppData%, встановив синхронізацію через м’ютекси, і зареєстрував персистенцію через заплановані завдання , створені через RPC. Після встановлення поведінка включала ін’єкцію в explorer.exe and UserAccountBroker.exe, що узгоджується з протоколом віддаленого доступу з акцентом на прихованість. Телеметрія мережі ідентифікувала дві IP-адреси C2 в Гонконгу, які використовуються для отримання команд і підготовки пейлоаду. Атрибуція була оцінена як узгоджена з активністю Silver Fox і показала кодові збіги з SADBRIDGE.

Пом’якшення

Шукайте NSIS-упакований фальшивий інсталятор і надавайте попередження про підозрілий слід сертифіката , пов’язаний з ланцюгом підписання. Моніторьте створення файлів, що з’являються після встановлення, зміни в реєстрі та спроби додати виключення Windows Defender. Заблокуйте вихідне підключення до визначених C2 IP і застосуйте контролі підпису коду, які відхиляють недійсні або ненадійні сертифікати. Додайте EDR-детекції для шаблонів ін’єкції PoolParty Variant 7-стилю і для створення запланованих завдань, які узгоджуються з RPC-основною персистенцією.

Відповідь

Якщо виявлено підозрілу активність, ізолюйте кінцеву точку, зупиніть шкідливі процеси і видаліть фальшивий інсталятор і всі розгорнуті артефакти. Проведіть повну перевірку на наявність додаткових ValleyRAT модулів, відновіть налаштування Defender (включаючи видалення несанкціонованих виключень) і видаліть створені зловмисником заплановані завдання. Перегляньте останню активність користувачів і хостів на предмет ознак бічного переміщення, після чого передайте на реагування на інциденти для захоплення пам’яті та глибшого судово-медичного збору.

Потік атаки

Детекції

Можливе створення запланованого завдання (через powershell)

Команда SOC Prime
04 лютого 2026

Підозріле заплановане завдання (через аудит)

Команда SOC Prime
04 лютого 2026

Підозріла шлях виконання Rundll32 Dll (через process_creation)

Команда SOC Prime
04 лютого 2026

Підозрілі зміни в налаштуваннях Windows Defender (через powershell)

Команда SOC Prime
04 лютого 2026

LOLBAS Regsvr32 (через cmdline)

Команда SOC Prime
04 лютого 2026

IOCs (DestinationIP) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT

Правила SOC Prime AI
04 лютого 2026

IOCs (HashSha1) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT

Правила SOC Prime AI
04 лютого 2026

IOCs (SourceIP) для виявлення: фальшивий інсталятор: у кінцевому підсумку зараження ValleyRAT

Правила SOC Prime AI
04 лютого 2026

Виявлення фальшивого інсталятора з використанням виключень Windows Defender і запланованих завдань [Windows Powershell]

Правила SOC Prime AI
04 лютого 2026

Виконання симуляції

Передумови: телеметрія та перевірка базового стану повинні пройти.

Обґрунтування: цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив повинні безпосередньо відображати визначені TTP і націлюються на генерацію точної телеметрії, очікуваної логікою виявлення.

  • Атака та команди:
    Атакуючий, який вже скомпрометував обліковий запис з низькими привілеями, бажає встановити пейлоад на скомпрометований хост, уникаючи сканування антивірусом. Атакуючий:

    1. Використовує PowerShell для додавання виключень Windows Defender, що охоплюють весь C: диск, що забезпечує невидимість будь-яких шкідливих бінарів, які там розміщені, для Defender.
    2. У тієї ж сесії PowerShell, реєструє заплановане завдання, яке запускає прихований пейлоад ( ) кожного разу, коли запускається конкретний легітимний процес (наприклад, ) кожного разу, коли запускається конкретний легітимний процес (наприклад, ) every time a specific legitimate process (e.g., explorer.exe), забезпечуючи персистенцію.
    3. Оскільки обидві дії поєднуються в одній командній лінії, телеметрія відповідає умові відбору selection1 і selection2 правила Sigma, викликаючи сповіщення.
  • Скрипт тестування регресії:

    # -------------------------------------------------
    # Імітація фальшивого інсталятора – запускає правило Sigma
    # -------------------------------------------------
    # 1. Визначте шлях виключення (цілий диск C:)
    $exclusion = "C:"
    # 2. Визначте деталі запланованого завдання
    $taskName = "UpdateScheduler"
    $action   = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1"
    $trigger  = New-ScheduledTaskTrigger -AtLogOn
    # 3. Поєднайте команди в одну команду PowerShell
    $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force"
    # 4. Виконуйте об'єднану команду
    Invoke-Expression $combined
  • Команди очищення:

    # -------------------------------------------------
    # Очищення – видалення виключення та запланованого завдання
    # -------------------------------------------------
    # Видаліть виключення Defender для C:
    Remove-MpPreference -ExclusionPath "C:"
    # Видаліть заплановане завдання
    Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false