AHK RAT Loader

चल रहे हमले अभियान के बारे में विवरण जो समझौता किए गए सिस्टम पर आरएटी पेलोड को छोड़ देता है, अंततः सुरक्षा शोधकर्ताओं द्वारा जारी किया गया है। उनके निष्कर्षों के अनुसार, धमकी देने वाला अभिनेता प्रारंभिक चरण लोडर के रूप में एक अद्वितीय AutoHotKey (AHK) संकलित स्क्रिप्ट का उपयोग कर रहा है। मैलवेयर खतरे को एक स्टैंडअलोन निष्पादन योग्य फ़ाइल के रूप में छोड़ दिया जाता है जिसमें AHK दुभाषिया, AHK स्क्रिप्ट और FIleInstall कमांड के माध्यम से शामिल अतिरिक्त फ़ाइलें शामिल होती हैं। AHK स्क्रिप्टिंग भाषा AutoIt भाषा की एक शाखा का प्रतिनिधित्व करती है, जिसका उपयोग अक्सर नियमित कार्यों को स्वचालित करने और उपयोगकर्ता सहभागिता का अनुकरण करने के लिए किया जाता है। अपने धमकी देने वाले औजारों को छिपाने के लिए, धमकी देने वाला अभिनेता संक्रमित मशीन पर एक वैध आवेदन भी छोड़ देता है।

एएचके आरएटी लोडर अभियान कई अलग-अलग हमले श्रृंखलाओं के साथ शुरू होने के बाद से महीनों में तेजी से विकसित हुआ है, प्रत्येक तेजी से परिष्कृत होता जा रहा है और नई कार्यक्षमता प्राप्त कर रहा है। अंतिम RAT पेलोड ने भी हैकर्स के साथ शुरुआत में VjW0rm और Houdini RAT को तैनात करने, फिर njRAT , LimeRAT और RevengeRAT पर स्विच करने के साथ बहुत अधिक विविधता दिखाई है । एक आक्रमण श्रृंखला जो AHK RAT लोडर का उपयोग करती है, लेकिन इस अभियान के बाकी कार्यों से कुछ विचलन प्रदर्शित करती है, AsyncRAT को अपने अंतिम पेलोड के रूप में वितरित करती है।

एएचके आरएटी लोडर के सामान्य लक्षण

AHK स्क्रिप्ट द्वारा की गई पहली कार्रवाई एक वैध एप्लिकेशन को पीड़ित की मशीन पर %appdata% निर्देशिका में छोड़ना है। इसके बाद यह दो फाइलों को% प्रोग्रामडेटा% निर्देशिका में वितरित करने के लिए आगे बढ़ता है - 'conhost.exe' नामक एक लॉन्चर और एक मेनिफेस्ट फ़ाइल जिसे इसके साथ जाना चाहिए। Conhost.exe फ़ाइल एक वैध अनुप्रयोग है लेकिन पथ अपहरण के माध्यम से दूषित मेनिफेस्ट फ़ाइल को चलाने के लिए इसका शोषण किया जाता है। फिर एक वीबीएसएससीक्रिप्ट अंततः अंतिम आरएटी पेलोड स्थापित करेगा और आरंभ करेगा।

बाद की आक्रमण श्रृंखलाओं में AV समाधानों के विरुद्ध अधिक तकनीकों को शामिल करना शुरू किया गया। Microsoft डिफेंडर को अक्षम करने के प्रयास में इसकी ओर इशारा करते हुए एक बैच स्क्रिप्ट और एक LNK फ़ाइल पेश की गई थी। इसके अलावा, एक नए VBScript के माध्यम से, धमकी देने वाला अभिनेता पीड़ित की HOSTS फ़ाइल के साथ छेड़छाड़ करके लोकप्रिय एंटी-मैलवेयर उत्पादों के लिए संचार को अवरुद्ध करने का प्रयास करता है। एक अतिरिक्त एएचके निष्पादन योग्य को आरएटी पेलोड को और अधिक छिपाने का काम सौंपा गया था।

देखे गए संशोधन और नई तकनीकों की शुरूआत निष्क्रिय सुरक्षा नियंत्रणों द्वारा पता लगाने से बचने के लिए एएचके आरएटी लोडर के पीछे खतरे के अभिनेता के स्थायी प्रयासों को दर्शाती है।