VBA RAT 通過親克里米亞宣言接觸受害者
俄羅斯和烏克蘭之間圍繞克里米亞衝突正在進行的網絡戰中使用了一種新的惡意軟件。這種被稱為 VBA RAT 的新威脅是通過網絡釣魚電子郵件傳遞的,其中包含一個帶有宏的文檔。誘餌文件是一份名為“ Манифест.docx ”的宣言。該文檔似乎有兩種變體,它們使用略有不同的技術來執行嵌入的有效載荷——VBA RAT。
木馬的目標是收集有關受感染系統的信息,以及與文件系統進行交互。它的操作員可以命令植入程序刪除文件、上傳/下載文件,並檢查受害者機器上運行的防病毒軟件。與 VBA RAT 活動相關的有趣發現之一是攻擊者正在使用 Internet Explorer 漏洞,該漏洞以前由Lazarus Hacking Group 使用。然而,VBA RAT 背後的威脅參與者極不可能與臭名昭著的 Lazarus APT 有任何共同之處。
VBA RAT 定期檢查新指令
VBA RAT 接收命令的方式也有些獨特。它不是不斷地監聽命令,而是使用一個每 10 分鐘觸發一次的小腳本。當 10 分鐘過去後,植入物會聯繫命令和控制服務器並檢查新命令——如果沒有新命令,它會在 10 分鐘後重複該任務。
該惡意軟件通過基於 Web 的控制面板進行管理,該面板包含有關當前在線受害者的信息 - 位置、IP 地址、操作系統等。 VBA RAT 極不可能用於對付俄羅斯或烏克蘭的普通居民——相反,其主要目標很可能是參與克里米亞衝突的個人。
然而,可以通過使用最新的反惡意軟件套件來阻止像 VBA RAT 執行的攻擊。