Manuel Statik Analiz — ValleyRAT (Çin APT) | Tehdit: KRITIK

文件 Kimliği

SHA256f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
文件名explorer.exe (Windows Gezgini taklidi!)
大小171.640 byte
String Sayisi925

explorer.exe Kamuflajı

Tehlike: Windows Explorer çalıştırılabilir dosyasını taklit eder. İşlem listesinde meşru gibi görünür.

Registry Kalıcılığı

RegCreateKeyW   -- Registry oluşturma/kalıcılık
RegOpenKeyExW   -- Registry okuma (mevcut kalıcılık kontrol)
RegSetValueExW  -- Registry değer yazma

ValleyRAT Hakkında

ValleyRAT, Silver Fox APT (Çin menşeli) tarafından geliştirildiği değerlendirilen C++ tabanlı RAT ailesidir. Finansal sektörü hedef alan spear-phishing kampanyalarında kullanılmıştır. çoklu aşamalı yükleme (dropper → loader → RAT), shellcode çalıştırma ve keylogging yetenekleri içerir.

IOC

SHA256f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
Kamuflajexplorer.exe (Windows Gezgini)

ValleyRAT — 恶意软件档案

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

恶意软件类型
RAT
编程语言
C++
C2协议
HTTP
目标系统
Windows

能力与行为

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC列表 (1 个指标)

IOC — ValleyRAT
# SHA256 f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
类型备注
sha256 f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
标签
valleyrataptexplorer-kamuflajregistrycin-apt