Manuel Statik Analiz — ValleyRAT (Çin APT) | Tehdit: KRITIK

파일 Kimliği

SHA256f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
파일 이름explorer.exe (Windows Gezgini taklidi!)
크기171.640 byte
String Sayisi925

explorer.exe Kamuflajı

Tehlike: Windows Explorer çalıştırılabilir dosyasını taklit eder. İşlem listesinde meşru gibi görünür.

Registry Kalıcılığı

RegCreateKeyW   -- Registry oluşturma/kalıcılık
RegOpenKeyExW   -- Registry okuma (mevcut kalıcılık kontrol)
RegSetValueExW  -- Registry değer yazma

ValleyRAT Hakkında

ValleyRAT, Silver Fox APT (Çin menşeli) tarafından geliştirildiği değerlendirilen C++ tabanlı RAT ailesidir. Finansal sektörü hedef alan spear-phishing kampanyalarında kullanılmıştır. çoklu aşamalı yükleme (dropper → loader → RAT), shellcode çalıştırma ve keylogging yetenekleri içerir.

IOC

SHA256f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
Kamuflajexplorer.exe (Windows Gezgini)

ValleyRAT — 악성코드 프로필

ValleyRAT Çin APT RAT. Cince hedefleme. WMIC HypervisorPresent VM tespit. surrogate pair dogrulama.

악성코드 유형
RAT
프로그래밍 언어
C++
C2 프로토콜
HTTP
대상 시스템
Windows

기능 및 동작

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC 목록 (1 개 지표)

IOC — ValleyRAT
# SHA256 f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
유형메모
sha256 f4541e8a44142832fc0179026906e9f19c3dbcffcb2e5a8d1b4c7f0e3a6b9d2f
태그
valleyrataptexplorer-kamuflajregistrycin-apt