Manuel Statik Analiz — ValleyRAT (Çin APT) | Tehdit: KRITIK

ファイル Kimliği

SHA256f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
ファイル名explorer.exe (Windows Gezgini taklidi!)
サイズ171.640 byte
String Sayisi925

explorer.exe Kamuflajı

Tehlike: Windows Explorer çalıştırılabilir dosyasını taklit eder. İşlem listesinde meşru gibi görünür.

Registry Kalıcılığı

RegCreateKeyW   -- Registry oluşturma/kalıcılık
RegOpenKeyExW   -- Registry okuma (mevcut kalıcılık kontrol)
RegSetValueExW  -- Registry değer yazma

ValleyRAT Hakkında

ValleyRAT, Silver Fox APT (Çin menşeli) tarafından geliştirildiği değerlendirilen C++ tabanlı RAT ailesidir. Finansal sektörü hedef alan spear-phishing kampanyalarında kullanılmıştır. çoklu aşamalı yükleme (dropper → loader → RAT), shellcode çalıştırma ve keylogging yetenekleri içerir.

IOC

SHA256f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
Kamuflajexplorer.exe (Windows Gezgini)

ValleyRAT — マルウェアプロファイル

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

マルウェアの種類
RAT
プログラミング言語
C++
C2プロトコル
HTTP
標的システム
Windows

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — ValleyRAT
# SHA256 f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
タイプメモ
sha256 f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
タグ
valleyrataptexplorer-kamuflajregistrycin-apt