VBA RAT dociera do ofiar poprzez manifest prokrymski

W trwającej między Rosją a Ukrainą bitwie cybernetycznej o konflikt na Krymie został wykorzystany nowy rodzaj złośliwego oprogramowania. Nowe zagrożenie, nazwane VBA RAT, jest dostarczane za pośrednictwem wiadomości phishingowych, które zawierają dokument z makrami. Dokument-wabik to manifest o nazwie „ Манифест.docx ”. Dokument wydaje się występować w dwóch wersjach, które wykorzystują nieco inne techniki do wykonania osadzonego ładunku — VBA RAT.

Celem trojana jest zbieranie informacji o zaatakowanym systemie, a także interakcja z systemem plików. Jego operatorzy mogą nakazać implantowi usuwanie plików, przesyłanie/pobieranie plików oraz sprawdzanie, jakie oprogramowanie antywirusowe działa na komputerze ofiary. Jednym z interesujących ustaleń związanych z kampanią VBA RAT jest to, że osoby atakujące wykorzystują exploita Internet Explorera, który był wcześniej wykorzystywany przez grupę Lazarus Hacking Group . Jest jednak wysoce nieprawdopodobne, aby cyberprzestępcy stojący za VBA RAT mieli cokolwiek wspólnego z niesławnym APT Lazarus.

VBA RAT sprawdza okresowo nowe instrukcje

Sposób, w jaki VBA RAT odbiera polecenia, jest również nieco wyjątkowy. Zamiast ciągle nasłuchiwać poleceń, używa małego skryptu, który jest uruchamiany co 10 minut. Po upływie 10 minut implant kontaktuje się z serwerem dowodzenia i sprawdza nowe polecenia – jeśli nic nie ma, powtarza zadanie po kolejnych dziesięciu minutach.

Złośliwe oprogramowanie jest zarządzane za pośrednictwem internetowego panelu sterowania, który zawiera informacje o ofiarach aktualnie online – lokalizację, adres IP, system operacyjny i inne. Jest bardzo mało prawdopodobne, że VBA RAT zostanie użyty przeciwko zwykłym mieszkańcom Rosji lub Ukrainy – zamiast tego jego głównymi celami będą prawdopodobnie osoby zaangażowane w konflikt krymski.

Niemniej jednak ataki, takie jak ten przeprowadzany przez VBA RAT, można powstrzymać za pomocą aktualnego pakietu oprogramowania chroniącego przed złośliwym oprogramowaniem.