VBA RAT når ofre gjennom pro-Krim-manifest

Et nytt skadelig programvare har blitt brukt i den pågående cyber -kampen mellom Russland og Ukraina om Krim -konflikten. Den nye trusselen, kalt VBA RAT, blir levert gjennom phishing-e-postmeldinger, som inneholder et makro-laced dokument. Lokkedokumentet er et manifest kalt ' Манифест.docx '. Dokumentet ser ut til å komme i to varianter, som bruker litt forskjellige teknikker for å utføre en innebygd nyttelast - VBA RAT.

Målet med trojaneren er å samle informasjon om det kompromitterte systemet, samt å samhandle med filsystemet. Operatørene kan beordre implantatet til å slette filer, laste opp/laste ned filer og kontrollere hvilken antivirusprogramvare som kjører på offerets maskin. Et av de interessante funnene knyttet til VBA RAT -kampanjen er at angriperne bruker en Internet Explorer -utnyttelse, som tidligere var ansatt i Lazarus Hacking Group . Det er imidlertid svært usannsynlig at trusselaktørene bak VBA RAT har noe til felles med den beryktede Lazarus APT.

VBA RAT kontrollerer jevnlig nye instruksjoner

Måten VBA RAT mottar kommando på er også noe unik. I stedet for å konstant lytte etter kommandoer, bruker den et lite skript som utløses hvert 10. minutt. Når det går 10 minutter, kontakter implantatet kommando-og-kontroll-serveren og ser etter nye kommandoer-hvis det ikke er noe, gjentar det oppgaven etter ti minutter til.

Skadelig programvare blir administrert gjennom et nettbasert kontrollpanel, som inneholder informasjon om ofrene som er online for øyeblikket-plassering, IP-adresse, operativsystem og mer. Det er høyst usannsynlig at VBA RAT vil bli brukt mot vanlige innbyggere i Russland eller Ukraina - i stedet er det sannsynligvis hovedmålene som er personer som er involvert i Krim -konflikten.

Likevel kan angrep som det VBA RAT utfører stoppes ved å bruke en oppdatert programvare mot skadelig programvare.