文章总结： ValleyRAT_S2恶意软件针对组织窃取财务数据，通过伪装软件和DLL侧加载传播。具备远程控制、键盘记录及看门狗机制等持久化能力，利用任务计划自启并注入可信进程。防御需清除计划任务、监控脚本及后门进程以彻底根除威胁。 综合评分： 85 文章分类： 恶意软件,威胁情报,应急响应

ValleyRAT_S2 攻击组织部署隐蔽恶意软件窃取财务数据

FreeBuf

2026年1月17日 18:02 上海

新一轮网络攻击正利用 ValleyRAT_S2 恶意软件悄无声息地侵入组织机构，长期潜伏并窃取敏感财务信息。作为 ValleyRAT 家族的第二阶段有效载荷，这款采用 C++ 编写的恶意程序具备完整远程访问木马功能，使攻击者能强力控制受感染系统并建立稳定数据外传通道。

Part01

攻击传播途径

当前攻击活动主要通过以下方式传播：

• 伪装成中文版生产力工具的虚假软件
• 经过篡改的破解软件
• 冒充基于 AI 的电子表格生成器的木马化安装程序

技术分析显示，恶意软件常通过 DLL 侧加载技术投递——诱骗合法签名程序加载名为常规库文件（如 steam_api64.dll）的恶意 DLL。网络安全团队 APOPHiS 追踪确认，ValleyRAT_S2 是驱动这些入侵活动的核心第二阶段后门。此外，攻击还通过鱼叉式钓鱼附件和遭滥用的软件更新渠道进行传播。

恶意文档和压缩包通常将载荷释放至 Temp 目录，例如：

C:\Users\Admin\AppData\Local\Temp\AI自动化办公表格制作生成工具安装包\steam_api64.dll

第一阶段载荷专注于规避检测，而 ValleyRAT_S2 则负责长期系统控制、环境侦察、凭证窃取及财务数据收集。

Part02

恶意功能分析

激活后，ValleyRAT_S2 会执行以下操作：

1. 扫描运行进程、文件系统和注册表键值
2. 通过自定义 TCP 协议连接硬编码 C2 服务器（如 27.124.3.175:14852）
3. 实现文件上传下载、Shell命令执行、载荷注入和键盘记录功能

这些能力使其特别适合窃取：

• 网上银行凭证
• 支付数据
• 内部财务文档

Part03

持久化与看门狗机制

ValleyRAT_S2 最危险的特征在于其分层持久化设计和看门狗机制，可抵御系统重启和手动清理。恶意软件首先在用户 Temp 和 AppData 路径暂存文件，并创建以下标记：

%TEMP%\target.pid%APPDATA%\Promotions\Temp.aps

其持久化技术包括：

• 通过 COM API 滥用 Windows 任务计划程序实现开机自启
• 使用注册表运行键作为备用启动路径
• 生成监控脚本 monitor.bat 构成看门狗循环

监控脚本逻辑如下：

@echo&nbsp;offset&nbsp;"PIDFile=%TEMP%\target.pid"set&nbsp;/p pid=<"%PIDFile%"del&nbsp;"%PIDFile%":checktasklist /fi&nbsp;"PID eq %pid%"&nbsp;| findstr >nulif&nbsp;errorlevel 1 (&nbsp; cscript //nologo&nbsp;"%TEMP%\watch.vbs"&nbsp;&nbsp;exit)timeout&nbsp;/t 15 >nulgoto check

该机制使 ValleyRAT_S2 能在主进程被安全工具终止后自动恢复。结合以下技术，恶意软件可保持隐蔽而顽固的驻留：

• 结构化异常处理
• 沙箱检测
• 注入可信进程（如 Telegra.exe 和 WhatsApp.exe）

防御建议：单纯终止进程无法彻底清除，必须同时处理：

• 计划任务
• 批处理/VBS 监控脚本
• 暂存文件
• 后门进程

参考来源：

ValleyRAT_S2 Attacking Organizations to Deploy Stealthy Malware and Extract Financial Details

ValleyRAT_S2 Attacking Organizations to Deploy Stealthy Malware and Extract Financial Details

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《ValleyRAT_S2 攻击组织部署隐蔽恶意软件窃取财务数据》