Ένα νέο είδος κακόβουλου λογισμικού που ονομάζεται ValleyRAT αναπτύσσεται μεταξύ μεγάλων οργανισμών σε όλο τον κόσμο, προειδοποίησαν οι ερευνητές.
Οι ειδικοί στον τομέα της
κυβερνοασφάλεια
ς από την Proofpoint δημοσίευσαν μια έκθεση που ισχυρίζεται ότι οι κινεζικές
επιχειρήσεις
στην ηπειρωτική χώρα, αλλά και άλλες εταιρείες αλλού, στοχοποιούνται από πολλαπλά νέα στελέχη κακόβουλου λογισμικού, τα οποία πιθανώς χρησιμοποιούνται από περισσότερους από έναν νέους παράγοντες απειλών.
Μεταξύ αυτών είναι ένα νέο εργαλείο που ονομάζεται ValleyRAT: «Οι καμπάνιες που διανέμουν αυτό το κακόβουλο λογισμικό διεξήχθησαν στα κινέζικα και, ακολουθώντας την τάση άλλων κινεζικών καμπανιών κακόβουλου λογισμικού, η πλειοψηφία χρησιμοποίησε θέματα τιμολογίων που σχετίζονται με διάφορες κινεζικές επιχειρήσεις», είπαν οι ερευνητές, δηλώνοντας ότι είδαν πολλές καμπάνιες που διανέμουν αυτό το συγκεκριμένο κακόβουλο λογισμικό.
Email
μολυσμένα από RAT
Το ValleyRAT εντοπίστηκε για πρώτη φορά τον Μάρτιο του 2023, δήλωσε περαιτέρω η Proofpoint, και ενώ είναι ίσως η πιο ενδιαφέρουσα,
δεν είναι
σχεδόν η μόνη παραλλαγή που αναπτύσσεται. Οι ερευνητές εντόπισαν επίσης το Sainbox (μια παραλλαγή του διαβόητου Gh0stRAT), καθώς και το Purple Fox. Με το τελευταίο, οι επιτιθέμενοι κυνηγούσαν κυρίως ιαπωνικούς στόχους:
«Ενώ η ιστορική δραστηριότητα ευθυγραμμίζεται με αυτό που η Proofpoint θεωρεί ότι έχει κινεζικό θέμα, σπάνια παρατηρείται στα δεδομένα απειλών μας», είπαν οι ερευνητές όταν συζητούσαν το Purple Fox. «Συγκεκριμένα, μια καμπάνια που παρατηρήθηκε χρησιμοποίησε θέματα τιμολογίων στην Ιαπωνική γλώσσα που στόχευαν οργανισμούς στην Ιαπωνία για την παράδοση συνημμένων με συμπιεσμένο κώδικα που οδήγησαν στην εγκατάσταση, ενώ άλλες χρησιμοποίησαν μηνύματα με θέμα τιμολογίων στην κινεζική γλώσσα με διευθύνσεις URL».
Μέχρι στιγμής, η Proofpoint λέει ότι εντόπισε περισσότερες από δύο δωδεκάδες από αυτές τις καμπάνιες. Σε αυτά, οι επιτιθέμενοι υποδύονταν μεγάλες εταιρείες και επικοινωνούσαν με τους υπαλλήλους τους μέσω email, σε μια προσπάθεια να τους κάνουν να κατεβάσουν και να εκτελέσουν μερικούς από τους προαναφερθέντες RAT.
Ενώ τα στοιχεία φαίνονται ασαφή όσον αφορά την ταυτότητα των επιτιθέμενων, οι ερευνητές εικάζουν ότι αυτό θα μπορούσε να είναι έργο πολλών ομάδων, οι οποίες πιθανότατα μοιράζονται πολύτιμους πόρους. Βασίζουν αυτά τα συμπεράσματα στο γεγονός ότι «ορισμένα συμπλέγματα δραστηριοτήτων ε
πικα
λύπτονται».
Άγνωστα είναι επίσης τα κίνητρα των δραστών.
