MoDi RAT

En ny angrebskampagne, der leverer Trojan MoDi RAT til fjernadgang, er blevet opdaget af cybersikkerhedseksperter. Truslen besidder alle de truende funktioner, der forventes af en RAT. MoDi RAT giver angriberne fjernadgang til den inficerede computer. Dette giver hackere mulighed for at udføre vilkårlige kommandoer, manipulere filsystemet, exfiltrere oplysninger af interesse, der er indsamlet fra den kompromitterede enhed, eller levere yderligere truende nyttelast.

MoDi RAT kan også forsøge at oprette forbindelse til yderligere Command-and-Control (C2, C&C) servere, hvilket betyder, at alle filer eller private data, der er høstet, derefter kan overføres og uploades til mere end en ekstern server. De indsamlede data kunne omfatte detaljerede værts- og systemoplysninger, følsomme loginoplysninger samt økonomiske detaljer.

Imidlertid var de mest interessante aspekter, der blev afdækket af infosec-forskere, ikke forbundet med selve truslen, men med metoden, hvorigennem MoDi RAT blev leveret.

En indviklet angrebskæde dråber MoDi RAT

Før den endelige nyttelast bestående af MoDi RAT etableres på det kompromitterede system, går angrebet gennem flere faser og involverer nogle smarte tricks designet til at undgå afsløring. Den oprindelige angrebsvektor er sandsynligvis en spam-e-mail-kampagne, der spreder e-mails med ødelagte vedhæftede filer. Når brugeren udfører vedhæftet fil til e-mail, udløser det et Visual Basic Script, der opretter forbindelse til et eksternt sted, der fungerer som et indgangspunkt for flere HTTP 302-omdirigeringer, inden han endelig ankommer til en .ZIP-arkivfil, der er hostet på OneDrive. Arkivet indeholder en kodet VBS (VBE) fil.

I mellemtiden dropper det oprindelige VBS-script en anden VBS-fil til filsystemet og injicerer tre datablob-poster i Windows-registreringsdatabasen, der bruges i de følgende faser af angrebet. Derefter fortsætter det med at oprette en planlagt opgave, der er ansvarlig for at køre VBS-scriptet på et forudbestemt tidspunkt i fremtiden. VBS-koden starter igen PowerShell og indsætter de nødvendige kommandoer i systemets udklipsholder. Truslen leverer derefter kommandoerne til PowerShell-vinduet gennem VBS SendKeys-kommandoen programmatisk. Denne teknik undgår at gyde en PowerShell-forekomst indeholdende usædvanlige kommandolinjeparametre, der muligvis bliver afhentet af sikkerhedsprodukter.

Fileløs angrebsfase

Resten af de truende handlinger er fuldstændig fileløse. Trinene involverer PowerShell, der udpakker en .NET-dekoder, der kan eksekveres fra registreringsdatabasen, og indsprøjtes den i en systemproces. Dekoderen ekstraherer derefter en .NET-injektor og nyttelast-klatter. I denne fase fortsætter injektoren med at indlæse nyttelasten ved at indsætte den i msbuild.exe- applikationen.

Det skal bemærkes, at flere strenge, navnet på den indledende ZIP-fil (Timbres-electroniques) samt en af registreringsnøglerne (Entreur), alle er ord med fransk oprindelse. Det er måske ikke en overraskelse, at blandt de opdagede mål for MoDi RAT var flere franske virksomheder.