VBA RAT pasiekia aukas per Krymui palankų manifestą

Vykdant kibernetinį mūšį tarp Rusijos ir Ukrainos dėl Krymo konflikto buvo panaudota nauja kenkėjiškų programų dalis. Naujoji grėsmė, pavadinta VBA RAT, perduodama sukčiavimo el. Laiškais, kuriuose yra makrokomandinis dokumentas. Sukčiavimo dokumentas yra manifestas „Манифест.docx“. Atrodo, kad dokumentas yra dviejų variantų, kurie naudoja šiek tiek skirtingus metodus, kad atliktų įterptąją naudingąją apkrovą - VBA RAT.

Trojos arklys tikslas yra surinkti informaciją apie pažeistą sistemą, taip pat bendrauti su failų sistema. Jos operatoriai gali liepti implantui ištrinti failus, įkelti/atsisiųsti failus ir patikrinti, kokia antivirusinė programinė įranga veikia aukos kompiuteryje. Viena iš įdomių išvadų, susijusių su VBA RAT kampanija, yra ta, kad užpuolikai naudoja „Internet Explorer“ išnaudojimą, kurį anksčiau naudojo „ Lazarus Hacking Group“ . Tačiau labai mažai tikėtina, kad VBA RAT grėsmės veikėjai turi ką nors bendro su liūdnai pagarsėjusiu „Lazarus APT“.

VBA RAT periodiškai tikrina naujas instrukcijas

Tai, kaip VBA RAT gauna komandą, taip pat yra unikalus. Užuot nuolat klausęs komandų, jis naudoja nedidelį scenarijų, kuris suaktyvinamas kas 10 minučių. Praėjus 10 minučių, implantas susisiekia su valdymo ir valdymo serveriu ir patikrina, ar nėra naujų komandų-jei nieko nėra, jis pakartoja užduotį dar po dešimties minučių.

Kenkėjiška programa valdoma naudojant žiniatinklio valdymo skydelį, kuriame yra informacija apie šiuo metu prisijungusias aukas-vietą, IP adresą, operacinę sistemą ir kt. Labai mažai tikėtina, kad VBA RAT bus panaudotas prieš nuolatinius Rusijos ar Ukrainos gyventojus - vietoj to pagrindiniai tikslai greičiausiai bus asmenys, dalyvaujantys Krymo konflikte.

Nepaisant to, tokias atakas, kokias vykdo VBA RAT, galima sustabdyti naudojant naujausią kenkėjiškų programų paketą.