VBA RAT 通过亲克里米亚宣言接触受害者
俄罗斯和乌克兰之间围绕克里米亚冲突正在进行的网络战中使用了一种新的恶意软件。这种被称为 VBA RAT 的新威胁是通过网络钓鱼电子邮件传递的,其中包含一个带有宏的文档。诱饵文件是一份名为“ Манифест.docx ”的宣言。该文档似乎有两种变体,它们使用略有不同的技术来执行嵌入的有效负载——VBA RAT。
木马的目标是收集有关受感染系统的信息,以及与文件系统进行交互。它的操作员可以命令植入程序删除文件、上传/下载文件,并检查受害者机器上运行的防病毒软件。与 VBA RAT 活动相关的有趣发现之一是攻击者正在使用 Internet Explorer 漏洞,该漏洞以前由Lazarus Hacking Group 使用。然而,VBA RAT 背后的威胁参与者极不可能与臭名昭著的 Lazarus APT 有任何共同之处。
VBA RAT 定期检查新指令
VBA RAT 接收命令的方式也有些独特。它不是不断地监听命令,而是使用一个每 10 分钟触发一次的小脚本。当 10 分钟过去后,植入物会联系命令和控制服务器并检查新命令——如果没有新命令,它会在 10 分钟后重复该任务。
该恶意软件通过基于 Web 的控制面板进行管理,该面板包含有关当前在线受害者的信息 - 位置、IP 地址、操作系统等。 VBA RAT 极不可能用于对付俄罗斯或乌克兰的普通居民——相反,其主要目标很可能是参与克里米亚冲突的个人。
尽管如此,可以使用最新的反恶意软件套件来阻止 VBA RAT 执行的攻击。