- 2026/07/10
- LevelBlue SpiderLabs Blog サイバー攻撃
マルウェアValleyRATの感染を狙った日本を標的とするスパムメール
Post by : Hajime Takai
KEY POINTS
- ValleyRATに関する攻撃について、Cybereason GSOCでは、偽インストーラを起点とする攻撃とスパムメールを起点とする攻撃の2種類が確認されている。
- 今回取り上げるスパムメールの攻撃について、中国語話者と日本語話者の両方を標的としていると思われ、マルウェアには解析妨害や検知回避などが確認された。
- Cybereason GSOCにおけるValleyRATの検知手法について一例を解説した。
INTRODUCTION
ValleyRAT Threat Intelligence
今回のテーマであるマルウェアValleyRATは2023年にProofpoint社により命名されて以降[1]、その活動が度々報告されているマルウェアです。名前の通りRAT型のマルウェアであり、感染した端末を攻撃者が遠隔から操作することを可能にします。過去にはBYOVD(Bring Your Own Vulnerable Driver)[2]などの高度な手法を利用したことも知られています。
ValleyRATの帰属について、多くのレポートでは攻撃グループSilverFoxに関連していると指摘されている一方で、ValleyRATを利用する攻撃の全てがSilverFoxに関連するかどうかについては懐疑的な見方も存在します。実際、リークされたビルダーを解析した記事[3]にはValleyRATだけを理由にSilverFoxと関連付けることは難しいと記載されています。また、利用されているツールセットがキャンペーン毎に大きく異なることから、ValleyRATを単一アクターに帰属させることに対して一石を投じている研究成果[4]も存在しています。
ValleyRAT detection trend in Cybereason GSOC
マルウェアValleyRATについてはCybereason GSOCでも検知しています。下記のグラフは2025年以降にGSOCで検知したValleyRATの件数を示しています。2025年5月から検知が増え始め、2026年に入ると2025年から倍に近いペースで検知していることが分かります。この検知数はある程度進行した攻撃のみを対象としており、未遂に終わったものも含めると相当数の攻撃が行われていたことがうかがい知れます。

ValleyRAT attack variation in GSOC
GSOCで観測しているマルウェアValleyRATに関する検知は下記の2種類に分類できます。
- 偽インストーラを起点した攻撃
- スパムメールを起点とした攻撃
偽インストーラを起点とした攻撃については、2025年頃から観察されており、GSOCで過去に詳細に解析しています。その攻撃フローとしては、偽インストーラがダウンローダーを実行し、そのダウンローダーが最終的な目標であるValleyRATをダウンロードして実行するというものです。

また、その攻撃の特徴から、標的は中国語話者であると思われます。GSOCで検知した検体では、偽インストーラのUIが中国語で表記され、中国語圏で利用されるセキュリティソフトの通信妨害が行われていました。また、日本企業の海外拠点でValleyRATを利用した攻撃事例を複数確認しており、海外拠点のある企業は注意が必要となります。更に検知回避や解析妨害機能も多く実装されており、特にPool Party Variant 7という特徴的なProcess Injectionのテクニックが利用されていました。偽インストーラを使った攻撃の詳細はCybereasonのブログに掲載されていますので[5]、当ブログと併せてご覧いただければ幸いです。
一方、スパムメールを起点した攻撃は2026年から検知し始めたものです。また、日本を対象としている点が偽インストーラのケースと異なります。当ブログではこのスパムメールを起点としたValleyRATの攻撃について詳細に解説します。
Detailed Sample Analysis
GSOCで検知したスパムメールを起点とするValleyRATの攻撃について詳細に解析します。
Attack flow
まず、攻撃フローを示します。

この攻撃はスパムメールを起点としています。スパムメールにURLリンクが含まれており、そのURLリンクからZIPファイルがダウンロードされます。ZIPファイルにはEXEファイルとDLLファイルが含まれており、EXEファイルを起動すると悪性な機能が含まれるDLLファイルが実行される仕組みになっていました。DLLファイルは最終目標であるValleyRATをダウンロードして、実行します。
Spam email
今回の攻撃はスパムメールから開始されています。ValleyRATの感染に使用されたスパムメールの例を下記にします[6]。これは台湾や香港などで使われる繁体字中国語で記載されており、内容としては人事異動や給与改定に関する内容となっています。メール本文にURLリンクが含まれており、このリンクをクリックするとZIPファイルがダウンロードされ、攻撃が進んでいきます。また、EXEファイルとDLLファイルはモバイル端末では動作しないため、パソコンで開くように促しています。

また、OSINT調査から上記の中国語メールに関連する日本語メールも確認されました[6]。この日本語メールにもURLリンクが含まれていますが、URLリンクのドメイン部分が中国語メールのものと共通しています。また、VirusTotalで当該ドメインに調査したところ、中国語が含まれるURLと日本語が含まれるURLの両方が複数確認できます。ValleyRATに関するスパムメールを利用した攻撃について、日本だけを標的としたものや中国語話者だけを標的としたものはこれまで報告されてきました。ドメインという単一の証拠で断言することはできませんが、中国語話者と日本語話者を両方標的としているValleyRATのスパムメールの攻撃は単一の攻撃者によって実行された可能性があります。
ZIP File / EXE File
スパムメールからダウンロードされるZIPファイルにはEXEファイルとDLLファイルが含まれています。EXEファイル自体に悪性な機能は確認されていませんが、ユーザーがEXEファイルを実行すると悪性な機能が実装されているDLLファイルをロードすることで、後続の攻撃に進んでいきます。以降で解析する検体は下記のZIPファイルです。これはスパムメールのセクションで解説したメールに含まれるURLリンクのドメインにVirusTotal上で関連があるとされているファイルです。
- SHA1 hash: 65168c8dd93b16d3b77092fb70c0fa6fba4dffcc
下記にZIPファイルに含まれるEXEファイルのプロパティを図として示します。ファイル名は【給与調整のお知らせ】.exeですが、ファイルの説明はVLC media playerであり、元のファイル名もvlc.exeとなっています。また、【給与調整のお知らせ】.exeのファイルハッシュは正規のVLC media playerに一致していることも分かっています。これらの事実に加え、同梱されるDLLファイルの名前がVLC media player で利用されるlibvlc.dllであることを考慮すると、検知回避のためにDLL Sideloadingを行っていると考えています。

DLL File
EXEファイルによってロードされるDLLファイルの主要な機能は下記の2つです。これらについて詳細に説明します。
- 自身の永続化
- ValleyRATのダウンロードと実行
DLLファイルには下記のコードの難読化や検知回避機能も確認されました。特に検知回避機能についてはいずれか一つでもチェックに失敗してしまうと、主要な機能である永続化やValleyRATの実行は実施されません。これらコードの難読化や検知回避機能についても詳細に解説します。
- Junk Codeの挿入
- メモリサイズチェック
- Sleep時間のチェック
- プロセス数のチェック
- IsNativeVhdBoot()の戻り値チェック
自身の永続化
永続化を実施するにあたり、まずEXEファイルとDLLファイルが下記のようにコピーされます。これらEXEファイルとDLLファイルのパスはユーザーがZIPファイルを解凍したパスに依存するものであり、後続の処理で指定されるEXEファイルのパスを確定させるために必要な処理であると思われます。
- ファイル1
- コピー元: 【給与調整のお知らせ】.exe
- コピー先: C:\Users\Public\Documents\res\msword.exe
- ファイル2
- コピー元: libvlc.dll
- コピー先: C:\Users\Public\Documents\res\libvld.dll

その後、下記のレジストリ設定によりmsword.exeの実行を永続化します。
- レジストリパス: HKEY\Software\Microsoft\Windows\CurrentVersion\Run\pornhub


ValleyRATのダウンロードと実行
ValleyRATのダウンロード通信の処理は典型的なものであり、wininet.dllのInternetOpenW()やInternetReadFile()等のWINAPIを用いて実装されています。下記画像のように、通信先URLはBase64によってエンコードされていました。

また、ダウンロードされるValleyRATはRC4によって暗号化されており、暗号鍵は”zenzensu”であることが分かっています。

ダウンロードの後、CreateProcessA()によりrundll32.exeのプロセスをSuspend状態で作成し、その後VirtualAllocEx()やWriteProcessMemory()等によってRC4で復号したValleyRATをSuspend状態のプロセスのメモリに書き込み、ResumeThread()でSuspendしたプロセスを開始することで後続の処理に続いていきます。これらのダウンロード及び実行時の処理の間、ValleyRATのペイロードはファイルとして保存されず、ファイルレスとして実行されます。




Junk Codeの挿入
DLLファイルにはJunk Codeが多数含まれていました。下記のGhidraのデコンパイル画面では名前がretで終わる関数が複数呼び出されていますが、これらは単に数字を返す機能しかない関数であり、実質的な意味が無いものです。これらのJunk Codeはコードの難読化のために挿入されたものと思われます。


メモリサイズチェック
WINAPIのGlobalMemoryStatusEx()を用いて感染した端末のメモリサイズを確認しているコードが見つかりました。メモリサイズが0x40000000(=1024M)B以下の場合、後続の処理が実行されません。このような処理はサンドボックス環境や仮想環境を検知する目的で多くのマルウェアに実装されています。


Sleep時間のチェック
下記コードではWINAPIのSleep()関数の呼び出しの前後でGetTickCount()関数を呼び出し、GetTickCount()関数の戻り値の差分を計算しています。GetTickCount()関数の戻り値はOSが起動してからの時間を意味し、その差分はSleep()関数の実行に要した時間に相当します。その差分が0x1c3(=451)ミリ秒以下であった場合、後続の処理は実行されません。これはサンドボックス環境を検知する目的があると思われます。一部のサンドボックス環境では指定された時間よりも短い時間しかSleepされないことがあり、この特性を利用しています。


プロセッサー数のチェック
下記のコードでは、WINAPIのGETSystemInfo()を用いて感染した端末のプロセッサー数をチェックしています。プロセッサー数が1以下の場合は後続の主要な処理が実行されません。これもサンドボックス環境や仮想環境を検知する意図があると思われます。


IsNativeVhd()の戻り値チェック
下記のコードでは、WINAPIのIsNativeVhd()の戻り値をチェックしています。これはVhdを用いた特殊な環境の調査をしていると思われます。

ValleyRAT
ValleyRATはファイルレスで実行されるためファイルが端末上に残っておらず、直接検体を入手することはできませんでした。しかしながら、VirusTotalから今回の攻撃で使用されたと思われる下記の検体を入手しました。
- SHA1 hash: eca7ed7b699835fadc2c2997a2845864e02b8dfe
上記の検体が今回の攻撃で利用された検体であると判断した理由は下記の2点です。
- VirusTotal上で上記検体のRELATIONSに「今回解析したDLLファイルの通信先URL」が記載されている。
- 今回解析したDLLファイルに含まれるRC4のキー”zenzensu”を使って、上記の検体が実行可能なシェルコードとして復号できた。
この検体の解析結果について解説します。
Donut
このValleyRATの検体はDonutというツールが使われていたことが分かっています。DonutはPIC(Position Independent Code)を生成するためのツールです。Donutを使うことで.NETアセンブリやメモリ上で実行可能なシェルコードを簡単に作成することができます。
Donutに関しては、Donutで作成されたコードを元に戻すDecryptor[7]が公開されています。VirusTotalが取得した検体をこのDecryptorを適用したところ、元ファイルの復元に成功しました。今回の検体にDonutが利用されていると判断したのはこのためです。復元後の検体は下記URLにアップロードされています。
- SHA1 hash: eca7ed7b699835fadc2c2997a2845864e02b8dfe
復号された検体
既に報告されている類似点と多いことから、復号された検体はValleyRATであると考えています。類似点のひとつとして、下記画像は復号された検体に含まれるコードであり、レジストリのRunキーを用いてファイルGFIRestart64.exeの実行を永続化しています。これはMorphisec Threat Labsによって解析されたValleyRATの検体[8]にも同じような特徴が確認されています。

Defense
Detection
CybereasonのGSOCではValleyRATに関連する攻撃の検知ロジックを複数開発しています。ここではValleyRATの検知ロジックの一例を紹介します。今回とりあげる検知ロジックは下記になります。

このクエリはValleyRATによってロードされるモジュールの検知を目的としています。上記のクエリは非常に長いものですがポイントはモジュール名です。このモジュール名はリークされたValleyRATのコード情報から取得したものです。ValleyRATのリーク情報として公開されているものは幾つか存在しますが、今回クエリの作成にあたって参考にしたものにはVisual Studioのプロジェクトファイルが複数含まれていました[9]。このプロジェクトファイルがおそらくValleyRATのモジュール名と一致しており、これを元にクエリを作成したところ複数のValleyRATに関連する振る舞いを検知することに成功しました。また、誤検知の可能性を減らすため、フローティングモジュールであるという条件を追加しています。

今回の解析から分かるようにValleyRATはファイルレスであり、暗号化も行われています。そのため、簡単に検知できるマルウェアではありませんが、サイバーリーズンではこれからも検知ロジックを見直し、日々検知力の向上に努めています。
このハンティングクエリは誤検知を多発させる可能性があり、通常のMalOpのロジックには現状組み込まれていません。その代わりにProactive Huntingのロジックに含まれています。Proactive HuntingはCybereasonのMDRというマネージドサービスにおいて提供される脅威ハンティングサービスであり、通常のEDRのアラートとは異なるロジックで攻撃を検知しています。Proactive Huntingの特徴のひとつとして、多少の誤検知を許容できるという点が挙げられます。Proactive Huntingの仕様上、お客様に誤検知は通知されず正検知のみ通知されるため、今回のような誤検知の多いロジックでもお客様に運用上の負荷を与えることはありません。MDRにはEssentialとCompleteという2つのライセンスがありますが、Proactive HuntingサービスはCompleteという上位ライセンスにのみ付帯するものになっていますので、ご検討いただければ幸いです。
Prevention
スパムメールを起点とする攻撃には下記のような予防策が考えられます。
- 今回の攻撃の特徴を元に社内に対して注意喚起を行う
- スパムメールの訓練を社内で実施する
- メール対策用のセキュリティ製品を導入する
- DLL SideloadingやDonut Shellcode等を検知するためにEDR製品を導入する
- Proactive Hunting (MDR Complete)を利用する
最も簡単に実施できるのは社内への注意喚起です。今回の内容を元にすると、下記のような特徴を注意喚起として社内に共有できます。
- 人事異動や給与改定等の業務に関わる内容のメールが、outlook[.]comやgmail[.]com、hotmail[.]comなどのフリーメールアドレスから送信されている。
- メール本文にはURLリンクが含まれていることに加え、URLリンクからダウンロードされるZIPファイルをPCで開くように指示している。
- URLからダウンロードされるZIPファイルにはEXEファイルとDLLファイルが含まれ、EXEファイルの名前はメールと同様な内容の日本語で記載されている。EXEファイルの名前が日本語で記載されているのは不自然。
- EXEファイルの名前はメールの内容に沿っているが、ファイルの製品名は関係のないものが記載されている。
また、スパムメールの訓練やメール対策用のセキュリティ製品の導入も有効な対策と言えます。また、DLL SideloadingやDonut Shellcode等といった特徴はユーザーへの注意喚起には不向きですが、端末の振る舞いを記録するEDR製品はこれらの挙動をとらえることができます。更に、Cybereasonの提供するMDRの上位ライセンスであるProactive HuntingにはValleyRATに関連する検知ロジックが含まれていますので、ご検討ください。
Remediation
ValleyRATに感染した場合は下記のアクションを実施されることを推奨します。ただし、これは一般的な推奨アクションであり、フォレンジック調査等を行い場合は隔離のみ行い現況を保存するなどの対応が必要な場合がありますので、その点はご注意ください。
- 感染端末をネットワークから隔離する
- 感染端末のOSクリーンインストールを実施する
また、ValleyRATはRAT型のマルウェアであり、攻撃者によって感染端末が遠隔から操作される恐れがあります。そのため、EDR等のログから攻撃者の操作した内容を確認し、その内容に応じた対策を講じる必要があります。
Conclusion
Cybereason GSOCではValleyRATを継続的に検知していますが、それらは主に2種類にわけることができます。このブログでは主にスパムメールのパターンについて取り挙げました。検体を解析した結果、多くの解析妨害機能や検知回避機能が実装されており、簡単に検知することはできないマルウェアであることを解説してきました。また、ValleyRATを利用する単一の攻撃者が中国語話者と日本の両方を標的としている可能性についても言及しました。最後に、このマルウェアを検知するための一つの手法としてモジュール名に着目する方法を紹介しました。GSOCは今後もValleyRATに関連する攻撃を継続的に監視し、追加の情報が見つかりましたらアップデートします。
IOCs
|
IOC |
IOC type |
Description |
|
e8be03f19ada1f5cec74b143e21d4939e781671d |
SHA1 |
スパムメール |
|
frehf.oss-cn-hongkong.aliyuncs[.]com |
ドメイン |
スパムメールに含まれる |
|
65168c8dd93b16d3b77092fb70c0fa6fba4dffcc |
SHA1 |
ZIPファイル |
|
http://154.92.16[.]22/xz.bin |
URL |
ValleyRATのダウンロードURL |
|
eca7ed7b699835fadc2c2997a2845864e02b8dfe |
SHA1 |
RC4でエンコードされた |
References
About The Researchers
Hajime Takai, 
Senior Security Analyst, Cybereason Global SOC
Cybereason Global SOCに所属するシニアアナリスト。過去にJSAC、Virus Bulletinといったセキュリティカンファレンスでの登壇経験がある。また、Windows イベントログを解析するツールで、GitHub上で3000以上のスターを獲得しているHayabusaというオープンソースのツールのコア開発者の一人。
