ValleyRAT伪装Teams传播并侧加载窃密
摘要
2026年5月24日披露的一次恶意软件活动显示,ValleyRAT正通过仿冒企业通信工具的方式面向企业用户传播。攻击者在X等社交平台引流,诱导受害者访问仿冒Microsoft Teams下载页的相似域名站点并下载恶意ZIP包。运行后启动基于NSIS的隐蔽安装程序,在后台投放恶意组件并同时执行真实Teams安装以降低察觉。载荷利用腾讯开发的合法可执行文件GameBox.exe构建DLL侧加载链,最终部署ValleyRAT变种;并通过PowerShell添加Add-MpPreference排除项,使Windows Defender忽略其工作目录中的恶意DLL。后续阶段在内存中解密并执行名为user.dat的加密shellcode,记录键盘输入、剪贴板变化与活动窗口切换,并在外传前缓存窃取数据;研究人员将该活动与SilverFox APT关联,并给出监测103.215.77.17等处置建议。
正文
## 事件背景 近期,一场名为ValleyRAT的恶意软件活动正在针对企业用户展开攻击。攻击者通过伪装成合法企业通信工具的软件包进行传播,感染链从社交平台开始,诱使用户下载伪造的ZIP压缩文件。攻击者设置了与微软Teams下载页面极为相似的假网站,以此欺骗用户下载被篡改的安装程序。 ## 攻击手法 该恶意软件利用了Nullsoft Scriptable Install System (NSIS)创建的隐蔽安装程序,安装过程中同时运行真实的Teams安装工具,使用户未察觉异常。恶意软件通过DLL侧载链绕过检测,利用腾讯开发的合法可执行文件(GameBox.exe)来部署ValleyRAT变种。此外,恶意负载修改本地防病毒配置,执行PowerShell命令以添加排除项,从而使Windows Defender忽略恶意动态链接库。恶意软件还通过内存注入和日志记录技术,捕获击键、跟踪剪贴板变化及记录活动窗口切换,显示出与SilverFox APT组织的结构相似性。 ## 影响评估 此次攻击的主要原因在于攻击者结合社交工程和先进的防御规避策略,成功地欺骗用户下载恶意软件。事件的影响包括用户系统被感染,敏感信息被窃取,企业的网络安全防护受到严重威胁。 ## 处置建议 针对该安全事件,网络管理员应主动监控系统的外部连接,特别是试图连接到命令与控制服务器的活动。同时,审计终端以发现未经授权的PowerShell活动,阻止匹配_CCGDAT注册表项的未授权服务创建。此外,教育员工仅从经过验证的企业门户下载软件,避免使用第三方链接。
标签
- group:银狐
- silverfox
- tag:ValleyRAT
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": null,
"is_new_attack": null
},
"event_types": [],
"gpt_tags": [
"ValleyRAT",
"银狐"
],
"ioc": {
"ioc": [
"103.215.77.17"
],
"ip": [
"103.215.77.17"
]
},
"malware_name": [
"GameBox.exe",
"user.dat"
],
"reference_links": [
"https://securityonline.info/valleyrat-malware-campaign-teams/"
],
"related_anonymous": "银狐",
"target_area": [
"腾讯"
],
"target_country": null,
"target_industry_type": [
"国央企"
]
}