AHK RAT Loader
Szczegółowe informacje na temat trwającej kampanii ataków, w wyniku której ładunki RAT zrzucają na zainfekowane systemy, ostatecznie zostały ujawnione przez badaczy bezpieczeństwa. Zgodnie z ich ustaleniami, aktor zagrożenia używa unikalnego skompilowanego skryptu AutoHotKey (AHK) jako programu ładującego początkowy etap. Zagrożenie złośliwym oprogramowaniem jest upuszczane jako samodzielny plik wykonywalny, który zawiera interpreter AHK, skrypt AHK i dodatkowe pliki włączone za pomocą polecenia FIleInstall. Język skryptowy AHK stanowi gałąź języka AutoIt, który jest często używany do automatyzacji rutynowych zadań i symulacji interakcji użytkownika. Aby zamaskować groźne narzędzia, aktor upuszcza również legalną aplikację na zainfekowaną maszynę.
Kampania AHK RAT Loader ewoluowała szybko w ciągu kilku miesięcy od jej uruchomienia z wieloma różnymi łańcuchami ataków, z których każdy staje się coraz bardziej wyrafinowany i uzyskuje nowe funkcje. Ostateczne ładunki RAT również wykazały duży stopień różnorodności, ponieważ hakerzy początkowo wdrażali VjW0rm i Houdini RAT, a następnie przełączali się na njRAT, LimeRAT i RevengeRAT. Łańcuch ataków, który wykorzystuje moduł ładujący AHK RAT, ale wykazuje pewne odchylenia od pozostałych operacji w tej kampanii, dostarczył AsyncRAT jako ostateczny ładunek.
Ogólna charakterystyka ładowarki AHK RAT
Pierwszą czynnością wykonywaną przez skrypt AHK jest upuszczenie legalnej aplikacji do katalogu% appdata% na komputerze ofiary. Następnie przechodzi do dostarczania dwóch plików do katalogu% programdata% - programu uruchamiającego o nazwie „conhost.exe" i pliku manifestu, który musi być dołączony do niego. Plik conhost.exe jest legalną aplikacją, ale jest wykorzystywany do uruchamiania uszkodzonego pliku manifestu przez przejęcie ścieżki. Następnie VBSSCript ustanowi i ostatecznie zainicjuje ostateczny ładunek RAT.
Kolejne łańcuchy ataków zaczęły obejmować więcej technik przeciwko rozwiązaniom AV. W celu wyłączenia programu Microsoft Defender wprowadzono skrypt wsadowy i wskazujący na niego plik LNK. Ponadto za pomocą nowego języka VBScript osoba atakująca zagrożenie próbuje zablokować komunikację z popularnymi produktami chroniącymi przed złośliwym oprogramowaniem, modyfikując plik HOSTS ofiary. Dodatkowy plik wykonywalny AHK miał za zadanie dalsze maskowanie ładunku RAT.
Obserwowane modyfikacje i wprowadzenie nowych technik pokazują długotrwałe wysiłki aktora zagrożenia stojącego za AHK RAT Loader, aby uniknąć wykrycia przez pasywne mechanizmy bezpieczeństwa.
