AHK RAT Loader

RAT yüklerini tehlikeye atılmış sistemlere bırakan devam eden bir saldırı kampanyasıyla ilgili ayrıntılar, nihayetinde güvenlik araştırmacıları tarafından açıklandı. Bulgularına göre, tehdit aktörü ilk aşama yükleyici olarak benzersiz bir AutoHotKey (AHK) derlenmiş komut dosyası kullanıyor. Kötü amaçlı yazılım tehdidi, bir AHK yorumlayıcısı, AHK komut dosyası ve FIleInstall komutu aracılığıyla dahil edilen ek dosyalar içeren bağımsız bir yürütülebilir dosya olarak bırakılır. AHK komut dosyası dili, genellikle rutin görevleri otomatikleştirmek ve kullanıcı etkileşimini simüle etmek için kullanılan AutoIt dilinin bir dalını temsil eder. Tehdit aktörü, tehdit edici araçlarını maskelemek için virüslü makineye meşru bir uygulama da bırakır.

AHK RAT Loader kampanyası, her biri giderek daha karmaşık hale gelen ve yeni işlevler kazanan birden çok farklı saldırı zinciriyle başlatıldığından bu yana aylar içinde hızla gelişti. Nihai RAT yükleri de dağıtma hacker ile çeşitli büyük ölçüde göstermiştir VjW0rm sonra geçiş, ilk ve Houdini RAT njRAT, LimeRAT ve RevengeRAT. AHK RAT Yükleyiciyi kullanan ancak bu kampanyadaki diğer işlemlerden belirli sapmalar sergileyen bir saldırı zinciri, AsyncRAT'ı nihai yük olarak teslim etti.

AHK RAT Yükleyicinin Genel Özellikleri

AHK betiği tarafından yapılan ilk işlem, meşru bir uygulamayı kurbanın makinesindeki% appdata% dizinine bırakmaktır. Daha sonra iki dosyayı% programdata% dizinine teslim etmeye devam eder - 'conhost.exe' adlı bir başlatıcı ve onunla birlikte gitmesi gereken bir bildirim dosyası. Conhost.exe dosyası meşru bir uygulamadır, ancak bir yol hırsızlığı yoluyla bozuk bir bildirim dosyasını çalıştırmak için kötüye kullanılır. Daha sonra bir VBSSCript sonunda nihai RAT yükünü oluşturacak ve başlatacaktır.

Sonraki saldırı zincirleri, AV çözümlerine karşı daha fazla teknik içermeye başladı. Microsoft Defender'ı devre dışı bırakmak amacıyla bir Batch komut dosyası ve ona işaret eden bir LNK dosyası tanıtıldı. Dahası, tehdit aktörü yeni bir VBScript aracılığıyla kurbanın HOSTS dosyasını kurcalayarak popüler kötü amaçlı yazılımdan koruma ürünleri için iletişimi engellemeye çalışır. RAT yükünü daha fazla maskelemek için ek bir AHK yürütülebilir dosyası görevlendirildi.

Gözlemlenen değişiklikler ve yeni tekniklerin tanıtımı, tehdit aktörünün pasif güvenlik kontrolleri ile tespit edilmekten kaçınmak için AHK RAT Yükleyicinin arkasındaki kalıcı çabalarını göstermektedir.