MoDi RAT

Eksperci ds. Cyberbezpieczeństwa wykryli nową kampanię ataku, w ramach której trojan MoDi RAT zapewnia dostęp zdalny. Zagrożenie zawiera wszystkie groźne funkcje oczekiwane od RAT. MoDi RAT zapewnia atakującym zdalny dostęp do zainfekowanego komputera. Dzięki temu hakerzy mogą wykonywać dowolne polecenia, manipulować systemem plików, eksfiltrować interesujące informacje zebrane z zaatakowanego urządzenia lub dostarczać dodatkowe groźne ładunki.

MoDi RAT może również próbować połączyć się z dodatkowymi serwerami Command-and-Control (C2, C&C), co oznacza, że wszelkie zebrane pliki lub dane prywatne mogą być następnie przesyłane i przesyłane do więcej niż jednego serwera zewnętrznego. Zebrane dane mogą obejmować szczegółowe informacje o hoście i systemie, poufne dane logowania, a także szczegóły finansowe.

Jednak najciekawsze aspekty odkryte przez badaczy infosec nie były związane z samym zagrożeniem, ale z metodą, za pomocą której dostarczono MoDi RAT.

Zawiłe łańcuchy ataku wyrzucają szczur MoDi

Zanim ostateczny ładunek składający się z MoDi RAT zostanie ustanowiony w zaatakowanym systemie, atak przechodzi przez wiele etapów i obejmuje sprytne sztuczki mające na celu uniknięcie wykrycia. Pierwotnym wektorem ataku jest najprawdopodobniej kampania e-mailowa ze spamem rozpowszechniająca wiadomości e-mail zawierające uszkodzone załączniki. Gdy użytkownik wykonuje załącznik wiadomości e-mail, uruchamia skrypt języka Visual Basic, który łączy się ze zdalną witryną działającą jako punkt wejścia dla kilku przekierowań HTTP 302, zanim ostatecznie dotrze do pliku archiwum .ZIP hostowanego w usłudze OneDrive. Archiwum zawiera zakodowany plik VBS (VBE).

W międzyczasie początkowy skrypt VBS upuszcza drugi plik VBS do systemu plików i wstrzykuje trzy wpisy typu blob danych do rejestru systemu Windows, które są używane w kolejnych etapach ataku. Następnie przechodzi do tworzenia zaplanowanego zadania odpowiedzialnego za uruchomienie skryptu VBS we wcześniej określonym momencie w przyszłości. Kod VBS z kolei uruchamia PowerShell i wstawia potrzebne polecenia do schowka systemu. Zagrożenie następnie dostarcza polecenia do okna PowerShell za pomocą polecenia VBS SendKeys programowo. Ta technika pozwala uniknąć tworzenia instancji programu PowerShell zawierającej nietypowe parametry wiersza polecenia, które mogą zostać odebrane przez produkty zabezpieczające.

Faza ataku bezplikowego

Reszta groźnych działań jest całkowicie bezplikowa. Kroki obejmują wyodrębnienie przez program PowerShell pliku wykonywalnego dekodera .NET z obiektów blob rejestru i wstrzyknięcie go do procesu systemowego. Dekoder następnie wyodrębnia wtryskiwacz .NET i blob ładunku. W tej fazie wtryskiwacz przechodzi do ładowania ładunku, wstawiając go do aplikacji msbuild.exe.

Należy zauważyć, że kilka ciągów znaków, nazwa początkowego pliku ZIP (Timbres-electroniques), a także jeden z kluczy rejestru (Entreur) to słowa pochodzenia francuskiego. Nie powinno więc dziwić, że wśród wykrytych celów MoDi RAT było wiele firm francuskich.