Manuel Statik Analiz — ValleyRAT (Silver Fox APT) | Tehdit: YUKSEK
Dosya Kimliği
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | 点击切换简体中文语言包.exe (Çince: "Basitleştirilmiş Çince Dil Paketine Geçmek için Tıklayın") |
| Boyut | 1.943.568 byte (1.9MB) |
| String Sayisi | 8.459 |
Çince Dil Paketi Sosyal Mühendislik
Bölgesel Hedefleme: Çin'deki kurumsal kullanıcıları hedef alıyor!
点击切换简体中文语言包.exe -- 点击切换 = "Geçmek için tıklayın" -- 简体中文 = "Basitleştirilmiş Çince" (Mainland China) -- 语言包 = "Dil paketi" -- Çinli kurumsal kullanıcılar → dil güncelleme indirmesi gibi sunuluyor -- Silver Fox APT: Çinli finans ve sanayi şirketlerini hedef alıyor
WMI ile Gelişmiş VM Tespiti
wmic path Win32_ComputerSystem get HypervisorPresent -- WMIC komut satırı aracı çalıştırılıyor! -- Win32_ComputerSystem.HypervisorPresent = Boolean VM göstergesi -- True → Hyper-V, VMware, VirtualBox, KVM tespiti -- GetTickCount + GetTickCount64 → zamanlama tabanlı ek kontrol -- Hem WMI hem zamanlama = çift katman VM sandbox bypass
Gömülü C++ Kaynak Dosya Adları
handler.cc manager.cc receiver.cc responser.cc sender.cc start.cc -- C++ derleme artifact'ları: kaynak dosya adları binary'ye gömülü -- ValleyRAT'ın modüler C++ mimarisini ortaya koyuyor: handler.cc = komut işleme modülü manager.cc = bağlantı yönetim modülü receiver.cc = veri alma modülü responser.cc = yanıt oluşturma modülü sender.cc = veri gönderme modülü start.cc = başlatma/init modülü -- Tamamen özel yazılmış C++ RAT mimarisi
ValleyRAT / Silver Fox APT Hakkında
ValleyRAT 2023'te Proofpoint tarafından belgelenen Çin kaynaklı RAT'tır. Silver Fox tehdit grubu tarafından kullanılır. Çinli şirket çalışanlarına yönelik hedefli kimlik avı e-postaları ile yayılır. Modüler yapı: ana yük + ek plugin modülleri indirilir. Keylogging, screenshot, dosya hırsızlığı ve uzaktan kod yürütme özellikleri vardır.
IOC
| SHA256 | de4ca2d0a042ca831943568b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kılık | 点击切换简体中文语言包.exe (Çince dil paketi) |
ValleyRAT — Malware Profile
ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.
Malware Type
RAT
Programming Language
C++
C2 Protocol
HTTP
Target Systems
Windows
Capabilities & Behavior
Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması
IOC List (6 indicators)
IOC — ValleyRAT
# DOMAIN
handler.cc
# DOMAIN
manager.cc
# DOMAIN
receiver.cc
# DOMAIN
responser.cc
# DOMAIN
sender.cc
# DOMAIN
start.cc
| Type | Value | Note |
|---|---|---|
| domain | handler.cc | |
| domain | manager.cc | |
| domain | receiver.cc | |
| domain | responser.cc | |
| domain | sender.cc | |
| domain | start.cc |