MoDi RAT

Een nieuwe aanvalscampagne met de trojan MoDi RAT voor externe toegang is gedetecteerd door cyberbeveiligingsexperts. De dreiging beschikt over alle dreigende functionaliteiten die van een RAT worden verwacht. MoDi RAT geeft de aanvallers externe toegang tot de geïnfecteerde computer. Dit stelt de hackers in staat willekeurige commando's uit te voeren, het bestandssysteem te manipuleren, informatie van belang verzameld van het gecompromitteerde apparaat te exfiltreren of extra bedreigende ladingen te leveren.

MoDi RAT kan ook proberen verbinding te maken met extra Command-and-Control-servers (C2, C&C), wat betekent dat alle bestanden of privégegevens die zijn verzameld, vervolgens kunnen worden verzonden en geüpload naar meer dan één externe server. De verzamelde gegevens kunnen gedetailleerde host- en systeeminformatie, gevoelige inloggegevens en financiële gegevens bevatten.

De meest interessante aspecten die door infosec-onderzoekers aan het licht kwamen, hielden echter niet verband met de dreiging zelf, maar met de methode waarmee MoDi RAT werd geleverd.

Een ingewikkelde aanvalsketen laat MoDi RAT vallen

Voordat de uiteindelijke payload bestaande uit MoDi RAT wordt vastgesteld op het gecompromitteerde systeem, doorloopt de aanval meerdere fasen en omvat een aantal handige trucs die zijn ontworpen om detectie te voorkomen. De aanvankelijke aanvalsvector is hoogstwaarschijnlijk een spam-e-mailcampagne waarin e-mails met beschadigde bijlagen worden verspreid. Wanneer de gebruiker de e-mailbijlage uitvoert, activeert het een Visual Basic-script dat verbinding maakt met een externe site en fungeert als toegangspunt voor verschillende HTTP 302-omleidingen voordat het uiteindelijk aankomt bij een .ZIP-archiefbestand dat wordt gehost op OneDrive. Het archief bevat een gecodeerd VBS (VBE) -bestand.

Ondertussen plaatst het eerste VBS-script een tweede VBS-bestand in het bestandssysteem en injecteert het drie gegevensblob-ingangen in het Windows-register die worden gebruikt in de volgende fasen van de aanval. Daarna gaat het verder met het maken van een geplande taak die verantwoordelijk is voor het uitvoeren van het VBS-script op een vooraf bepaald punt in de toekomst. De VBS-code start op zijn beurt PowerShell en voegt de benodigde opdrachten in het klembord van het systeem in. De bedreiging levert vervolgens de opdrachten via de VBS SendKeys-opdracht programmatisch aan het PowerShell-venster. Met deze techniek wordt voorkomen dat een PowerShell-instantie wordt voortgebracht die ongebruikelijke opdrachtregelparameters bevat die door beveiligingsproducten kunnen worden opgepikt.

Bestandsloze aanvalsfase

De rest van de dreigende acties zijn volledig bestandsloos. De stappen omvatten dat de PowerShell een uitvoerbaar .NET-decoder extraheert uit de register-blobs en deze in een systeemproces injecteert. De decoder extraheert vervolgens een .NET-injector en payload-blobs. In deze fase gaat de injector verder met het laden van de payload door deze in de toepassing msbuild.exe te plaatsen.

Opgemerkt moet worden dat verschillende strings, de naam van het oorspronkelijke ZIP-bestand (Timbres-electroniques), evenals een van de registersleutels (Entreur), allemaal woorden zijn met een Franse oorsprong. Het mag dan ook geen verrassing zijn dat onder de gedetecteerde doelen van MoDi RAT meerdere Franse bedrijven waren.