Ο VAT RAT προσεγγίζει τα θύματα μέσω του μανιφέστου υπέρ της Κριμαίας

Ένα νέο κομμάτι κακόβουλου λογισμικού χρησιμοποιήθηκε στη συνεχιζόμενη μάχη στον κυβερνοχώρο μεταξύ Ρωσίας και Ουκρανίας για τη σύγκρουση της Κριμαίας. Η νέα απειλή, που ονομάστηκε VBA RAT, παραδίδεται μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος (phishing), τα οποία περιέχουν ένα έγγραφο με μακροεντολή. Το παραπλανητικό έγγραφο είναι ένα μανιφέστο που ονομάζεται " Манифест.docx ". Το έγγραφο φαίνεται να έρχεται σε δύο παραλλαγές, οι οποίες χρησιμοποιούν ελαφρώς διαφορετικές τεχνικές για να εκτελέσουν ένα ενσωματωμένο ωφέλιμο φορτίο - το VBA RAT.

Ο στόχος του Trojan είναι να συλλέξει πληροφορίες σχετικά με το παραβιασμένο σύστημα, καθώς και να αλληλεπιδράσει με το σύστημα αρχείων. Οι χειριστές του μπορούν να δώσουν εντολή στο εμφύτευμα να διαγράψει αρχεία, να ανεβάσει/κατεβάσει αρχεία και να ελέγξει τι λογισμικό προστασίας από ιούς τρέχει στο μηχάνημα του θύματος. Ένα από τα ενδιαφέροντα ευρήματα που σχετίζονται με την εκστρατεία VBA RAT είναι ότι οι επιτιθέμενοι χρησιμοποιούν μια εκμετάλλευση του Internet Explorer, η οποία είχε χρησιμοποιηθεί στο παρελθόν από το Lazarus Hacking Group . Ωστόσο, είναι εξαιρετικά απίθανο οι φορείς απειλής πίσω από το VBA RAT να έχουν κάτι κοινό με το διαβόητο Lazarus APT.

Περιοδικά έλεγχοι VBA RAT για νέες οδηγίες

Ο τρόπος με τον οποίο λαμβάνει εντολή ο VBA RAT είναι επίσης κάπως μοναδικός. Αντί να ακούει συνεχώς εντολές, χρησιμοποιεί ένα μικρό σενάριο που ενεργοποιείται κάθε 10 λεπτά. Όταν περάσουν 10 λεπτά, το εμφύτευμα έρχεται σε επαφή με τον διακομιστή εντολών και ελέγχου και ελέγχει για νέες εντολές-αν δεν υπάρχει τίποτα, επαναλαμβάνει την εργασία μετά από δέκα λεπτά ακόμη.

Η διαχείριση του κακόβουλου λογισμικού γίνεται μέσω ενός πίνακα ελέγχου που βασίζεται στο Διαδίκτυο, ο οποίος περιέχει πληροφορίες σχετικά με τα θύματα που βρίσκονται στο διαδίκτυο-τοποθεσία, διεύθυνση IP, λειτουργικό σύστημα και πολλά άλλα. Είναι πολύ απίθανο ο VBA RAT να χρησιμοποιηθεί εναντίον των τακτικών κατοίκων της Ρωσίας ή της Ουκρανίας - αντίθετα, οι κύριοι στόχοι του είναι πιθανόν να είναι άτομα που εμπλέκονται στη σύγκρουση της Κριμαίας.

Παρ 'όλα αυτά, επιθέσεις όπως αυτή που πραγματοποιεί το VBA RAT μπορούν να σταματήσουν χρησιμοποιώντας μια ενημερωμένη σουίτα λογισμικού προστασίας από κακόβουλο λογισμικό.