VBARATはクリミア半島のマニフェストを通じて被害者に到達します
クリミア紛争をめぐるロシアとウクライナの間で進行中のサイバー戦闘で、新しいマルウェアが使用されました。 VBA RATと呼ばれる新しい脅威は、マクロレースされたドキュメントを含むフィッシングメールを通じて配信されています。おとり文書は「 Манифест.docx 」と呼ばれるマニフェストです。このドキュメントには2つのバリエーションがあり、埋め込まれたペイロードを実行するためにわずかに異なる手法を使用しています– VBARAT。
このトロイの木馬の目的は、侵入先のシステムに関する情報を収集し、ファイルシステムと対話することです。そのオペレーターは、ファイルの削除、ファイルのアップロード/ダウンロード、および被害者のマシンで実行されているウイルス対策ソフトウェアの確認をインプラントに指示できます。 VBA RATキャンペーンに関連する興味深い発見の1つは、攻撃者が以前にLazarus HackingGroupによって採用されていたInternetExplorerエクスプロイトを使用していることです。ただし、VBARATの背後にいる脅威アクターが悪名高いLazarusAPTと共通点を持っている可能性はほとんどありません。
VBARATは定期的に新しい命令をチェックします
VBARATがコマンドを受信する方法もやや独特です。コマンドを常にリッスンする代わりに、10分ごとにトリガーされる小さなスクリプトを使用します。 10分が経過すると、インプラントはコマンドアンドコントロールサーバーに接続し、新しいコマンドをチェックします。何もない場合は、さらに10分後にタスクを繰り返します。
マルウェアは、現在オンラインになっている被害者に関する情報(場所、IPアドレス、オペレーティングシステムなど)を含むWebベースのコントロールパネルを介して管理されています。 VBA RATがロシアやウクライナの通常の居住者に対して使用される可能性はほとんどありません。代わりに、その主なターゲットはクリミア紛争に関与している個人である可能性があります。
それでも、VBA RATが実行するような攻撃は、最新のマルウェア対策ソフトウェアスイートを使用することで阻止できます。