FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

一款曾用于定向间谍活动的高级网络武器现已失控——其构建工具公开泄露后，该恶意软件正在全球威胁环境中迅速扩散。Check Point Research（CPR）最新报告显示，被称为Winos的模块化后门程序ValleyRAT已不再是特定组织的专属工具，而演变为全球网络犯罪分子的危险武器。

构建工具泄露引发威胁升级

过去半年间，恶意软件格局发生剧变。CPR指出，当ValleyRAT的构建工具（用于生成恶意软件的软件）在网络上泄露后，该武器的专属性就此终结。

影响立竿见影且规模惊人。"ValleyRAT插件在野外的检测统计数据显示，最近六个月检测到的样本约占总量85%，这与构建工具公开泄露的时间完全吻合。"这实质上意味着军用级网络武器现已流入黑市，研究人员称之为"野外活跃度加速攀升"的现象。

内核级Rootkit突破系统防护

ValleyRAT绝非普通恶意软件，其设计展现了Windows系统内核的深度掌握。报告强调"ValleyRAT开发者具备高级技能，展现出对Windows内核和用户模式内部机制的深刻理解"。

最令人担忧的是其驱动插件——该内核模式Rootkit旨在颠覆操作系统最底层的安全防护。对企业防御者而言更严峻的是，CPR发现该组件"仍保留有效签名，可在完全更新的Windows 11系统上加载，成功绕过内置防护功能"。

一旦入侵成功，该恶意软件将展现可怕能力，包括"隐蔽驱动安装、通过APC实现用户模式shellcode注入、强制删除AV/EDR驱动"等。

攻击溯源难度剧增

历史上，网络中出现的ValleyRAT往往指向特定的威胁组织，例如被称为Silver Fox的黑客团体。但报告警告："构建工具和源代码的公开极大增加了攻击溯源难度"。随着该工具流入更广泛的网络犯罪社区，"现在任何人都能独立编译、修改和部署ValleyRAT，这使得传统溯源方法效力大减"。

威胁格局重大升级

ValleyRAT从专属工具演变为公开框架，标志着威胁环境的重大升级。随着更多攻击者开始试验这些泄露工具，各组织必须做好应对利用这些高级功能的复杂攻击浪潮的准备。Check Point总结称："ValleyRAT已从特定组织关联的威胁，彻底转变为公开可用的恶意软件框架。"

参考来源：

Military-Grade ValleyRAT Goes Rogue: Kernel Rootkit Builder Leak Triggers Massive Global Surge

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）