VBA RAT bereikt slachtoffers via pro-Krim-manifest
Een nieuw stukje malware is gebruikt in de voortdurende cyberstrijd tussen Rusland en Oekraïne over het conflict op de Krim. De nieuwe dreiging, genaamd de VBA RAT, wordt geleverd via phishing-e-mails, die een macro-geregen document bevatten. Het lokdocument is een manifest genaamd ' Манифест.docx .' Het document lijkt in twee varianten te komen, die enigszins verschillende technieken gebruiken om een embedded payload uit te voeren - de VBA RAT.
Het doel van de Trojan is om informatie te verzamelen over het gecompromitteerde systeem en om te communiceren met het bestandssysteem. De operators kunnen het implantaat opdracht geven om bestanden te verwijderen, bestanden te uploaden/downloaden en te controleren welke antivirussoftware op de computer van het slachtoffer draait. Een van de interessante bevindingen met betrekking tot de VBA RAT-campagne is dat de aanvallers gebruikmaken van een Internet Explorer-exploit, die eerder werd gebruikt door de Lazarus Hacking Group . Het is echter hoogst onwaarschijnlijk dat de dreigingsactoren achter de VBA RAT iets gemeen hebben met de beruchte Lazarus APT.
VBA RAT controleert regelmatig op nieuwe instructies
De manier waarop de VBA RAT de opdracht ontvangt, is ook enigszins uniek. In plaats van constant naar commando's te luisteren, gebruikt het een klein script dat elke 10 minuten wordt geactiveerd. Als er 10 minuten verstrijken, neemt het implantaat contact op met de command-and-control-server en controleert het op nieuwe commando's - als er niets is, herhaalt het de taak na nog tien minuten.
De malware wordt beheerd via een webgebaseerd controlepaneel, dat informatie bevat over de slachtoffers die momenteel online zijn: locatie, IP-adres, besturingssysteem en meer. Het is hoogst onwaarschijnlijk dat de VBA RAT zal worden gebruikt tegen reguliere inwoners van Rusland of Oekraïne - in plaats daarvan zijn de primaire doelen waarschijnlijk personen die betrokken zijn bij het Krim-conflict.
Desalniettemin kunnen aanvallen zoals die van de VBA RAT worden gestopt door een up-to-date anti-malware softwarepakket te gebruiken.