MoDi RAT

En ny attackkampanj som levererar fjärråtkomst Trojan MoDi RAT har upptäckts av cybersäkerhetsexperter. Hotet har alla hotfunktioner som förväntas av en RAT. MoDi RAT ger angriparna fjärråtkomst till den infekterade datorn. Detta gör det möjligt för hackare att utföra godtyckliga kommandon, manipulera filsystemet, exfiltrera information av intresse som samlats in från den komprometterade enheten eller leverera ytterligare hotfulla nyttolaster.

MoDi RAT kan också försöka ansluta till ytterligare Command-and-Control (C2, C&C) servrar, vilket innebär att alla filer eller privata data som har skördats kan sedan överföras och laddas upp till mer än en extern server. Den insamlade informationen kan innehålla detaljerad värd- och systeminformation, känsliga inloggningsuppgifter samt ekonomiska detaljer.

De mest intressanta aspekterna som upptäcktes av infosec-forskare var dock inte kopplade till själva hotet utan till metoden genom vilken MoDi RAT levererades.

En invecklad attackkedjedroppar MoDi RAT

Innan den slutliga nyttolasten bestående av MoDi RAT fastställs på det komprometterade systemet, går attacken genom flera steg och involverar några snygga knep som är utformade för att undvika upptäckt. Den första attackvektorn är sannolikt en skräppostkampanj som sprider e-postmeddelanden med skadade bilagor. När användaren kör e-postbilagan, utlöser det ett Visual Basic-skript som ansluter till en fjärrplats som fungerar som en ingångspunkt för flera HTTP 302-omdirigeringar innan den äntligen kommer till en .ZIP-arkivfil som är värd på OneDrive. Arkivet innehåller en kodad VBS-fil (VBE).

Under tiden släpper det första VBS-skriptet en andra VBS-fil till filsystemet och injicerar tre datablobposter i Windows-registret som används i följande steg av attacken. Efter det fortsätter den att skapa en schemalagd uppgift som ansvarar för att köra VBS-skriptet vid en förutbestämd punkt i framtiden. VBS-koden startar i sin tur PowerShell och infogar de kommandon som behövs i systemets urklipp. Hotet levererar sedan kommandona till PowerShell-fönstret via VBS SendKeys-kommandot programmatiskt. Denna teknik undviker att leka en PowerShell-instans som innehåller ovanliga kommandoradsparametrar som kan plockas upp av säkerhetsprodukter.

Fileless Attack Phase

Resten av de hotande handlingarna är helt fillösa. Stegen innebär att PowerShell extraherar en .NET-avkodare som körs från registerblobbarna och injiceras i en systemprocess. Avkodaren extraherar sedan en .NET-injektor och nyttolastblodar. I denna fas fortsätter injektorn att ladda nyttolasten genom att infoga den i applikationen msbuild.exe.

Det bör noteras att flera strängar, namnet på den inledande ZIP-filen (Timbres-electroniques), liksom en av registernycklarna (Entreur), alla är ord med franska ursprung. Det kanske inte är en överraskning att bland de upptäckta målen för MoDi RAT var flera franska företag.