{"id":1283063,"date":"2024-08-16T11:06:06","date_gmt":"2024-08-16T13:06:06","guid":{"rendered":"https:\/\/teknomers.com\/fr\/valleyrat-a-plusieurs-etapes-cible-les-utilisateurs-chinois-avec-des-tactiques-avancees\/"},"modified":"2024-08-16T11:06:11","modified_gmt":"2024-08-16T13:06:11","slug":"valleyrat-a-plusieurs-etapes-cible-les-utilisateurs-chinois-avec-des-tactiques-avancees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/valleyrat-a-plusieurs-etapes-cible-les-utilisateurs-chinois-avec-des-tactiques-avancees\/","title":{"rendered":"ValleyRAT \u00e0 plusieurs \u00e9tapes cible les utilisateurs chinois avec des tactiques avanc\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cyberattaque \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/ValleyRAT-a-plusieurs-etapes-cible-les-utilisateurs-chinois-avec-des.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les utilisateurs parlant chinois sont la cible d\u2019une campagne en cours qui distribue un logiciel malveillant connu sous le nom de ValleyRAT.<\/p>\n<p>\u00ab ValleyRAT est un malware \u00e0 plusieurs \u00e9tapes qui utilise diverses techniques pour surveiller et contr\u00f4ler ses victimes et d\u00e9ployer des plugins arbitraires pour causer davantage de dommages \u00bb, expliquent Eduardo Altares et Joie Salvio, chercheurs de Fortinet FortiGuard Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/valleyrat-campaign-targeting-chinese-speakers\" target=\"_blank\">dit<\/a>.<\/p>\n<p>\u00ab Une autre caract\u00e9ristique notable de ce malware est son utilisation intensive de shellcode pour ex\u00e9cuter ses nombreux composants directement en m\u00e9moire, r\u00e9duisant ainsi consid\u00e9rablement son empreinte de fichier dans le syst\u00e8me de la victime. \u00bb<\/p>\n<p>Les d\u00e9tails de la campagne sont apparus pour la premi\u00e8re fois en juin 2024, lorsque Zscaler ThreatLabz a d\u00e9taill\u00e9 des attaques impliquant une version mise \u00e0 jour du malware.<\/p>\n<p>On ne sait pas exactement comment la derni\u00e8re it\u00e9ration de ValleyRAT est distribu\u00e9e, bien que les campagnes pr\u00e9c\u00e9dentes aient exploit\u00e9 des messages \u00e9lectroniques contenant des URL pointant vers des ex\u00e9cutables compress\u00e9s.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-b-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Microsoft-revele-quatre-failles-OpenVPN-pouvant-conduire-a-des-RCE.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La s\u00e9quence d&#8217;attaque est un processus en plusieurs \u00e9tapes qui commence par un chargeur de premi\u00e8re \u00e9tape qui usurpe l&#8217;identit\u00e9 d&#8217;applications l\u00e9gitimes telles que Microsoft Office pour les faire para\u00eetre inoffensives (par exemple, \u00ab \u5de5\u5546\u5e74\u62a5\u5927\u5e08.exe \u00bb ou \u00ab \u8865\u5355\u5bf9\u63a5\u66f4\u65b0\u8bb0\u5f55txt.exe \u00bb). ).<\/p>\n<p>Le lancement de l&#8217;ex\u00e9cutable entra\u00eene la suppression du document leurre et le chargement du shellcode pour passer \u00e0 la phase suivante de l&#8217;attaque. Le chargeur prend \u00e9galement des mesures pour v\u00e9rifier qu&#8217;il ne s&#8217;ex\u00e9cute pas sur une machine virtuelle.<\/p>\n<p>Le shellcode est responsable de l&#8217;initialisation d&#8217;un module de balisage qui contacte un serveur de commande et de contr\u00f4le (C2) pour t\u00e9l\u00e9charger deux composants &#8211; RuntimeBroker et RemoteShellcode &#8211; tout en d\u00e9finissant la persistance sur l&#8217;h\u00f4te et en obtenant des privil\u00e8ges d&#8217;administrateur en exploitant un binaire l\u00e9gitime nomm\u00e9 fodhelper.exe et en r\u00e9alisant un contournement UAC.<\/p>\n<p>La deuxi\u00e8me m\u00e9thode utilis\u00e9e pour l\u2019escalade des privil\u00e8ges concerne l\u2019abus de la <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.quickheal.com\/uac-bypass-using-cmstp\/\" target=\"_blank\">Interface COM CMSTPLUA<\/a>une technique pr\u00e9c\u00e9demment adopt\u00e9e par les acteurs malveillants connect\u00e9s au <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1548\/002\/\" target=\"_blank\">Ransomware Avaddon<\/a> et \u00e9galement observ\u00e9 dans les r\u00e9centes campagnes Hijack Loader. <\/p>\n<p>Dans une nouvelle tentative pour s&#8217;assurer que le logiciel malveillant s&#8217;ex\u00e9cute sans entrave sur la machine, il configure des r\u00e8gles d&#8217;exclusion pour Microsoft Defender Antivirus et proc\u00e8de \u00e0 l&#8217;arr\u00eat de divers processus li\u00e9s \u00e0 l&#8217;antivirus en fonction des noms de fichiers ex\u00e9cutables correspondants.<\/p>\n<p>La t\u00e2che principale de RuntimeBroker est de r\u00e9cup\u00e9rer aupr\u00e8s du serveur C2 un composant nomm\u00e9 Loader, qui fonctionne de la m\u00eame mani\u00e8re que le chargeur de premi\u00e8re \u00e9tape et ex\u00e9cute le module de balisage pour r\u00e9p\u00e9ter le processus d&#8217;infection.<\/p>\n<p>La charge utile du chargeur pr\u00e9sente \u00e9galement certaines caract\u00e9ristiques distinctes, notamment la r\u00e9alisation de v\u00e9rifications pour voir si elle s&#8217;ex\u00e9cute dans un bac \u00e0 sable et l&#8217;analyse du registre Windows \u00e0 la recherche de cl\u00e9s li\u00e9es \u00e0 des applications comme Tencent WeChat et Alibaba DingTalk, renfor\u00e7ant l&#8217;hypoth\u00e8se selon laquelle le malware cible exclusivement les syst\u00e8mes chinois.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>D&#8217;autre part, RemoteShellcode est configur\u00e9 pour r\u00e9cup\u00e9rer le t\u00e9l\u00e9chargeur ValleyRAT \u00e0 partir du serveur C2, qui, ensuite, utilise des sockets UDP ou TCP pour se connecter au serveur et recevoir la charge utile finale.<\/p>\n<p>ValleyRAT, attribu\u00e9 \u00e0 un groupe de menaces appel\u00e9 Silver Fox, est une porte d\u00e9rob\u00e9e compl\u00e8te capable de contr\u00f4ler \u00e0 distance les postes de travail compromis. Il peut prendre des captures d&#8217;\u00e9cran, ex\u00e9cuter des fichiers et charger des plugins suppl\u00e9mentaires sur le syst\u00e8me de la victime.<\/p>\n<p>\u00ab Ce malware implique plusieurs composants charg\u00e9s \u00e0 diff\u00e9rentes \u00e9tapes et utilise principalement du shellcode pour les ex\u00e9cuter directement en m\u00e9moire, r\u00e9duisant consid\u00e9rablement sa trace de fichier dans le syst\u00e8me \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>\u00ab Une fois que le logiciel malveillant a pris pied dans le syst\u00e8me, il prend en charge les commandes capables de surveiller les activit\u00e9s de la victime et de fournir des plugins arbitraires pour favoriser les intentions des acteurs de la menace. \u00bb<\/p>\n<p>Ce d\u00e9veloppement intervient dans un contexte de campagnes de malspam en cours qui tentent d&#8217;exploiter une ancienne vuln\u00e9rabilit\u00e9 de Microsoft Office (CVE-2017-0199) pour ex\u00e9cuter du code malveillant et diffuser GuLoader, Remcos RAT et Sankeloader.<\/p>\n<p>\u00ab CVE-2017-0199 vise toujours \u00e0 permettre l&#8217;ex\u00e9cution de code \u00e0 distance \u00e0 partir d&#8217;un fichier XLS \u00bb, a d\u00e9clar\u00e9 Symantec, propri\u00e9t\u00e9 de Broadcom. <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/new-malspam-campaigns-delivering-multiple-trojans\" target=\"_blank\">dit<\/a>\u00ab Les campagnes ont livr\u00e9 un fichier XLS malveillant avec un lien \u00e0 partir duquel un fichier HTA ou RTF distant serait ex\u00e9cut\u00e9 pour t\u00e9l\u00e9charger la charge utile finale. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/multi-stage-valleyrat-targets-chinese.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 ao\u00fbt 2024\ue804Ravie LakshmananCyberattaque \/ Malware Les utilisateurs parlant chinois sont la cible d\u2019une campagne en cours qui distribue un logiciel malveillant connu sous le nom de ValleyRAT. \u00ab ValleyRAT est un malware \u00e0 plusieurs \u00e9tapes qui utilise diverses techniques pour surveiller et contr\u00f4ler ses victimes et d\u00e9ployer des plugins arbitraires pour causer davantage de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1283064,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,53595,84,5663,7087,4168,4158,6124,133,713,65,238584,200271,238334,98340,701,238617,246491,4172,11977,7529,205382,4166,238583],"class_list":["post-1283063","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-avancees","tag-avec","tag-chinois","tag-cible","tag-comment-pirater","tag-cyber-actualites","tag-cyberattaques","tag-des","tag-etapes","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-plusieurs","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-tactiques","tag-utilisateurs","tag-valleyrat","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1283063","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1283063"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1283063\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1283064"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1283063"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1283063"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1283063"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}