VBA RAT обращается к жертвам с помощью про-Крымского манифеста
Новое вредоносное ПО было использовано в продолжающейся кибер-битве между Россией и Украиной из-за конфликта в Крыму. Новая угроза, получившая название VBA RAT, доставляется через фишинговые электронные письма, содержащие документ с макросами. Документ-приманка - это манифест под названием « Манифест.docx» . Документ представлен в двух вариантах, в которых используются несколько разные методы для выполнения встроенной полезной нагрузки - VBA RAT.
Целью троянца является сбор информации о скомпрометированной системе, а также взаимодействие с файловой системой. Его операторы могут дать команду имплантату удалять файлы, загружать / скачивать файлы и проверять, какое антивирусное программное обеспечение запущено на машине жертвы. Один из интересных выводов, связанных с кампанией VBA RAT, заключается в том, что злоумышленники используют эксплойт Internet Explorer, который ранее использовался Lazarus Hacking Group . Однако маловероятно, что злоумышленники, стоящие за VBA RAT, имеют что-то общее с печально известным Lazarus APT.
VBA RAT периодически проверяет наличие новых инструкций
Способ получения команды VBA RAT также в некоторой степени уникален. Вместо того, чтобы постоянно прислушиваться к командам, он использует небольшой сценарий, который запускается каждые 10 минут. По прошествии 10 минут имплант связывается с командно-административным сервером и проверяет наличие новых команд - если ничего нет, то повторяет задачу еще через десять минут.
Вредоносная программа управляется через веб-панель управления, которая содержит информацию о жертвах, которые в настоящее время находятся в сети - местоположение, IP-адрес, операционная система и многое другое. Маловероятно, что VBA RAT будет использоваться против постоянных жителей России или Украины - вместо этого его основными целями, скорее всего, будут лица, причастные к конфликту в Крыму.
Тем не менее, атаки, подобные той, которую выполняет VBA RAT, можно остановить, используя новейший программный пакет для защиты от вредоносных программ.