AHK RAT Loader
Detaljer om en pågående attackkampanj som släpper RAT-nyttolast till komprometterade system har i slutändan släppts av säkerhetsforskare. Enligt deras resultat använder hotskådespelaren ett unikt AutoHotKey (AHK) kompilerat manus som en inledande steglastare. Skadlig malware hotas som en fristående körbar fil som innehåller en AHK-tolk, AHK-skript och ytterligare filer som ingår i FIleInstall-kommandot. AHK-skriptspråket representerar en gren av AutoIt-språket, som ofta används för att automatisera rutinuppgifter och simulera användarinteraktion. För att maskera deras hotande verktyg släpper hotaktören också en legitim applikation till den infekterade maskinen.
AHK RAT Loader-kampanjen har utvecklats snabbt under månaderna sedan den lanserades med flera olika attackkedjor, var och en blev alltmer sofistikerad och uppnådde nya funktioner. De slutliga RAT-nyttolasten har också visat en stor variation med hackarna som inleder VjW0rm och Houdini RAT inledningsvis och byter sedan till njRAT, LimeRAT och RevengeRAT. En attackkedja som använder AHK RAT Loader men uppvisar vissa avvikelser från resten av operationerna i denna kampanj gav AsyncRAT som sin slutliga nyttolast.
Allmänna egenskaper hos AHK RAT Loader
Den första åtgärden som vidtas av AHK-skriptet är att släppa en legitim applikation i katalogen% appdata% på offrets maskin. Det fortsätter sedan att leverera två filer till katalogen% programdata% - en startprogram med namnet 'conhost.exe' och en manifestfil som måste gå bredvid den. Conhost.exe-filen är en legitim applikation men den utnyttjas för att köra en skadad manifestfil genom en bankapning. Då kommer ett VBSSCript att upprätta och initiera den slutliga RAT-nyttolasten så småningom.
Efterföljande attackkedjor började inkludera fler tekniker mot AV-lösningar. Ett batch-skript och en LNK-fil som pekade på det introducerades i ett försök att inaktivera Microsoft Defender. Dessutom försöker hotaktören genom ett nytt VBScript att blockera kommunikation för populära anti-malware-produkter genom att manipulera offrets HOSTS-fil. En ytterligare AHK-körning fick i uppdrag att ytterligare maskera RAT-nyttolasten.
De observerade modifieringarna och införandet av nya tekniker visar varaktiga ansträngningar från hotaktören bakom AHK RAT Loader för att undvika upptäckt genom passiva säkerhetskontroller.
