近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现ValleyRAT恶意软件出现新变种。该恶意软件主要针对政府机构及企业财务、销售等关键岗位人员实施攻击并窃取敏感业务数据。
ValleyRAT是一款基于C++的远程访问木马,具备多阶段攻击能力和虚拟环境逃逸特性。新变种通过伪造Chrome浏览器安装包、钓鱼邮件等进行传播。攻击者利用伪造的.NET可执行文件触发感染链,通过svchost.exe进程注入监控模块,强制终止安全防护进程,并借助Valve游戏组件Tier0.dll实现隐蔽驻留。其攻击链采用多层规避手段,首先禁用AMSI反病毒接口(微软的Windows系统接口,允许反恶意软件扫描内存脚本或代码)与ETW事件追踪功能(微软提供的事件追踪技术,用于收集和分析事件数据),随后通过Donut外壳代码在内存中加载恶意载荷,规避传统磁盘扫描。植入成功后,该恶意软件会通过访问WinSta0窗口站来窃取屏幕信息、键盘输入及系统敏感信息等。
建议相关单位及用户立即组织排查,及时更新防病毒软件。启用应用程序白名单限制非授权DLL(动态链接库)加载,针对财务等重点岗位开展钓鱼邮件专项演练。谨慎点击不明来源的链接或下载运行来源不明的应用程序,加强网络安全意识培训,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
