Manuel Statik Analiz — ValleyRAT (Çin APT) | Tehdit: KRITIK
Файл Kimliği
| SHA256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |
|---|---|
| Имя файла | explorer.exe (Windows Gezgini taklidi!) |
| Размер | 171.640 byte |
| String Sayisi | 925 |
explorer.exe Kamuflajı
Tehlike: Windows Explorer çalıştırılabilir dosyasını taklit eder. İşlem listesinde meşru gibi görünür.
Registry Kalıcılığı
RegCreateKeyW -- Registry oluşturma/kalıcılık RegOpenKeyExW -- Registry okuma (mevcut kalıcılık kontrol) RegSetValueExW -- Registry değer yazma
ValleyRAT Hakkında
ValleyRAT, Silver Fox APT (Çin menşeli) tarafından geliştirildiği değerlendirilen C++ tabanlı RAT ailesidir. Finansal sektörü hedef alan spear-phishing kampanyalarında kullanılmıştır. çoklu aşamalı yükleme (dropper → loader → RAT), shellcode çalıştırma ve keylogging yetenekleri içerir.
IOC
| SHA256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |
|---|---|
| Kamuflaj | explorer.exe (Windows Gezgini) |
ValleyRAT — Профиль вредоносного ПО
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
Тип вредоносного ПО
RAT
Язык программирования
C++
C2 Протокол
HTTP
Целевые системы
Windows
Возможности и поведение
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
Список IOC (1 индикаторов)
IOC — ValleyRAT
# SHA256
f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f |