VBA RAT når ofre gennem pro-Krim-manifest

Et nyt stykke malware er blevet brugt i den igangværende cyberkamp mellem Rusland og Ukraine om Krim -konflikten. Den nye trussel, kaldet VBA RAT, bliver leveret via phishing-e-mails, der indeholder et makro-laced dokument. Lokkedokumentet er et manifest kaldet 'Манифест.docx'. Dokumentet ser ud til at komme i to variationer, som bruger lidt forskellige teknikker til at udføre en indlejret nyttelast - VBA RAT.

Målet med trojaneren er at indsamle oplysninger om det kompromitterede system samt at interagere med filsystemet. Dens operatører kan kommandere implantatet for at slette filer, uploade/downloade filer og kontrollere, hvilken antivirussoftware der kører på offerets maskine. En af de interessante fund i forbindelse med VBA RAT -kampagnen er, at angriberne bruger en Internet Explorer -exploit, som tidligere var ansat af Lazarus Hacking Group . Det er dog meget usandsynligt, at trusselsaktørerne bag VBA RAT har noget tilfælles med den berygtede Lazarus APT.

VBA RAT undersøger regelmæssigt nye instruktioner

Den måde, VBA RAT modtager kommando på, er også noget unik. I stedet for konstant at lytte efter kommandoer bruger den et lille script, der udløses hvert 10. minut. Når der går 10 minutter, kontakter implantatet kommando-og-kontrol-serveren og søger efter nye kommandoer-hvis der ikke er noget, gentager det opgaven efter ti minutter mere.

Malwaren administreres via et webbaseret kontrolpanel, som indeholder oplysninger om ofrene i øjeblikket online-placering, IP-adresse, operativsystem og mere. Det er meget usandsynligt, at VBA RAT vil blive brugt mod almindelige indbyggere i Rusland eller Ukraine - i stedet er dets primære mål sandsynligvis personer, der er involveret i Krim -konflikten.

Ikke desto mindre kan angreb som det, VBA RAT udfører, standses ved at bruge en opdateret anti-malware softwarepakke.