一款曾用于定向间谍活动的高级网络武器已完全失控。在其构建工具包公开泄露后,该恶意软件正在全球威胁版图中迅速扩散。Check Point Research(CPR)的最新报告指出,被称为Winos的模块化后门程序ValleyRAT,已从一个特定组织的专属工具,演变为全球网络犯罪分子均可获取的危险武器。
构建工具泄露引发威胁急剧升级
过去六个月内,恶意软件格局发生了显著变化。CPR分析认为,当ValleyRAT的构建工具(即用于生成定制化恶意软件的程序)在网络上泄露后,这款高级武器的专属性便宣告终结。
其影响立竿见影且规模惊人。CPR报告中提到:“ValleyRAT插件在野外的检测统计数据显示,最近六个月检测到的样本约占其总量的85%,这与构建工具公开泄露的时间点完全吻合。” 这实质上意味着,一款军用级别的网络武器已经流入地下黑市,研究人员将这种现象描述为“野外活跃度加速攀升”。
内核级Rootkit突破操作系统底层防护
ValleyRAT绝非普通恶意软件,其设计展现了开发者对Windows系统内核的深度掌握。报告强调,“ValleyRAT的开发者具备高级技能,展现了对Windows内核和用户模式内部机制的深刻理解”。
最令人担忧的是其驱动插件——这是一个旨在颠覆操作系统最底层安全防护的内核模式Rootkit。对企业的防御团队而言,一个更严峻的事实是,CPR发现该组件“仍保留着有效的数字签名,使其能够在完全更新的Windows 11系统上成功加载,从而绕过了系统内置的防护功能”。
一旦成功植入系统,该恶意软件将展现出强大的破坏能力,包括隐蔽安装驱动、通过异步过程调用(APC)实现用户模式shellcode注入,以及强制删除杀毒软件(AV)和端点检测与响应(EDR)软件的驱动程序等。
攻击溯源与归因难度剧增
在过去,网络中出现的ValleyRAT样本往往能指向特定的高级持续性威胁组织,例如被称为Silver Fox的黑客团体。但报告警告称:“构建工具和源代码的公开,极大地增加了攻击溯源与归因的难度。” 随着该工具流入更广泛的网络犯罪社区,“现在任何人都能独立编译、修改并部署ValleyRAT,这使得传统的指纹比对等溯源方法效力大减”。
威胁格局的重大演变
ValleyRAT从专属工具演变为公开可用的恶意软件框架,标志着网络安全威胁环境的一次重大升级。随着更多攻击者开始试验并利用这些泄露的高级工具,全球各组织必须做好应对一波利用复杂功能发起攻击的准备。Check Point在报告中总结道:“ValleyRAT已从一个与特定组织关联的威胁,彻底转变为一个公开可用的恶意软件框架。”
参考来源:
Military-Grade ValleyRAT Goes Rogue: Kernel Rootkit Builder Leak Triggers Massive Global Surge
https://securityonline.info/military-grade-valleyrat-goes-rogue-kernel-rootkit-builder-leak-triggers-massive-global-surge/ | 
发表于 3 天前
|
查看: 5|
回复: 0
