A VBA RAT a Krím-párti kiáltványon keresztül éri el az áldozatokat
Egy új malware -t használtak az Oroszország és Ukrajna között zajló kiberharcban a krími konfliktus miatt. Az új, VBA RAT névre keresztelt fenyegetést adathalász e-mailek közvetítik, amelyek makrókkal fűzött dokumentumot tartalmaznak. A csaló dokumentum a " Манифест.docx " nevű kiáltvány. A dokumentum két változatban jelenik meg, amelyek kissé eltérő technikákat alkalmaznak a beágyazott hasznos terhelés - a VBA RAT - végrehajtásához.
A trójai cél az információgyűjtés a feltört rendszerről, valamint a fájlrendszerrel való interakció. Kezelői megparancsolhatják az implantátumnak, hogy töröljön fájlokat, töltsön fel/töltsön le fájlokat, és ellenőrizze, hogy milyen víruskereső szoftver fut az áldozat gépén. A VBA RAT kampányhoz kapcsolódó egyik érdekes megállapítás az, hogy a támadók az Internet Explorer kihasználását használják, amelyet korábban a Lazarus Hacking Group alkalmazott . Nagyon valószínűtlen azonban, hogy a VBA RAT mögött álló fenyegető szereplőknek bármi közösük lenne a hírhedt Lazarus APT -vel.
A VBA RAT rendszeresen ellenőrzi az új utasításokat
A VBA RAT parancs fogadási módja is némileg egyedi. Ahelyett, hogy folyamatosan hallgatná a parancsokat, egy kis szkriptet használ, amelyet 10 percenként aktiválnak. 10 perc elteltével az implantátum kapcsolatba lép a vezérlő- és vezérlőszerverrel, és ellenőrzi az új parancsokat-ha nincs semmi, akkor tíz perc múlva megismétli a feladatot.
A rosszindulatú programot egy webalapú vezérlőpulton keresztül kezelik, amely információkat tartalmaz a jelenleg online áldozatokról-helyről, IP-címről, operációs rendszerről és egyebekről. Nagyon valószínűtlen, hogy a VBA RAT -ot Oroszország vagy Ukrajna állandó lakosai ellen használják fel - ehelyett elsődleges célpontjai valószínűleg a krími konfliktusban érintett személyek lesznek.
Ennek ellenére a VBA RAT által végrehajtott támadások leállíthatók egy naprakész rosszindulatú programcsomag használatával.