HONGKONG / TAIPEI / MÜNCHEN (IT BOLTWISE) – Eine neue Welle von Cyberangriffen hat chinesischsprachige Regionen ins Visier genommen. Im Mittelpunkt steht die Malware ValleyRAT, die durch den Einsatz des mehrstufigen Loaders PNGPlug verbreitet wird.
Cybersecurity-Experten warnen vor einer Serie von Cyberangriffen, die sich gezielt gegen chinesischsprachige Regionen wie Hongkong, Taiwan und das chinesische Festland richten. Im Zentrum dieser Angriffe steht die bekannte Malware ValleyRAT, die durch einen mehrstufigen Loader namens PNGPlug verbreitet wird. Diese Angriffe nutzen gefälschte Software-Installer, um die Malware unbemerkt auf die Systeme der Opfer zu schleusen.
Der Infektionsprozess beginnt mit einer Phishing-Seite, die die Opfer dazu verleitet, ein bösartiges Microsoft Installer (MSI) Paket herunterzuladen, das als legitime Software getarnt ist. Nach der Ausführung installiert der Installer eine harmlose Anwendung, um keinen Verdacht zu erregen, während gleichzeitig ein verschlüsseltes Archiv mit der Malware extrahiert wird. Diese raffinierte Methode nutzt die CustomAction-Funktion des Windows Installers, um schädlichen Code auszuführen.
Besonders bemerkenswert ist die Verwendung eines eingebetteten bösartigen DLLs, das das Archiv mit dem Passwort ‘hello202411’ entschlüsselt, um die Kernkomponenten der Malware zu extrahieren. Dazu gehören eine schadhafte DLL (“libcef.dll”), eine legitime Anwendung (“down.exe”) als Tarnung und zwei Payload-Dateien, die als PNG-Bilder getarnt sind (“aut.png” und “view.png”).
Der Hauptzweck des DLL-Loaders PNGPlug besteht darin, die Umgebung für die Ausführung der Haupt-Malware vorzubereiten, indem “aut.png” und “view.png” in den Speicher injiziert werden. Dies ermöglicht es, durch Änderungen in der Windows-Registry Persistenz zu schaffen und ValleyRAT auszuführen. ValleyRAT, das seit 2023 in freier Wildbahn entdeckt wurde, ist ein Remote-Access-Trojaner (RAT), der Angreifern unbefugten Zugriff und Kontrolle über infizierte Maschinen ermöglicht.
Die jüngsten Versionen der Malware haben Funktionen zur Aufnahme von Screenshots und zum Löschen von Windows-Ereignisprotokollen integriert. Es wird angenommen, dass ValleyRAT mit einer Bedrohungsgruppe namens Silver Fox in Verbindung steht, die taktische Überschneidungen mit einem anderen Aktivitätscluster namens Void Arachne aufweist. Diese Verbindung wird durch die Nutzung eines Command-and-Control-Frameworks namens Winos 4.0 gestützt.
Die Kampagne ist einzigartig in ihrem Fokus auf die chinesischsprachige Bevölkerung und die Nutzung von softwarebezogenen Ködern, um die Angriffskette zu aktivieren. Besonders auffällig ist die raffinierte Nutzung legitimer Software als Verbreitungsmechanismus für Malware, die bösartige Aktivitäten nahtlos mit scheinbar harmlosen Anwendungen verbindet. Die Anpassungsfähigkeit des PNGPlug-Loaders erhöht die Bedrohung zusätzlich, da sein modulares Design eine Anpassung für mehrere Kampagnen ermöglicht.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Werkstudent*in für KI-gestützte Fallbearbeitung (d/m/w)
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Software Developer in the AI Services Team (gn)
Abschlussarbeit (Bachelor / Master) im Bereich Einkauf: Einsatz von Künstlicher Intelligenz
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Cyberangriffe auf chinesischsprachige Regionen: ValleyRAT im Fokus" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Cyberangriffe auf chinesischsprachige Regionen: ValleyRAT im Fokus" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Cyberangriffe auf chinesischsprachige Regionen: ValleyRAT im Fokus« bei Google Deutschland suchen, bei Bing oder Google News!