魔迪鼠

网络安全专家检测到一个新的提供远程访问Trojan MoDi RAT的攻击活动。该威胁具有RAT预期的所有威胁功能。 MoDi RAT使攻击者可以远程访问受感染的计算机。这使黑客能够执行任意命令，操纵文件系统，泄露从受感染设备中收集到的感兴趣的信息或提供其他威胁性有效负载。

MoDi RAT还可以尝试连接到其他命令和控制（C2，C＆C）服务器，这意味着随后可以将任何已收获的文件或私有数据传输并上传到多个外部服务器。收集的数据可能包括详细的主机和系统信息，敏感的登录凭据以及财务详细信息。

但是，信息安全研究人员发现的最有趣的方面与威胁本身无关，而与MoDi RAT的交付方式有关。

复杂的攻击链掉落了MoDi RAT

在由MoDi RAT组成的最终有效负载建立到受感染系统之前，攻击要经历多个阶段，并且涉及一些旨在避免检测的巧妙技巧。最初的攻击媒介很可能是垃圾电子邮件活动，用于传播带有损坏附件的电子邮件。当用户执行电子邮件附件时，它会触发一个Visual Basic脚本，该脚本将连接到充当多个HTTP 302重定向入口点的远程站点，然后最终到达OneDrive上托管的.ZIP存档文件。存档包含一个编码的VBS（VBE）文件。

同时，初始VBS脚本将第二个VBS文件拖放到文件系统中，并将三个数据Blob条目注入Windows注册表中，这些条目将在攻击的后续阶段中使用。之后，它将继续创建计划任务，该任务负责在将来的预定时间点运行VBS脚本。 VBS代码依次启动PowerShell，并将所需的命令插入系统的剪贴板中。然后，威胁会通过VBS SendKeys命令以编程方式将命令传递到PowerShell窗口。此技术避免生成包含安全产品可能拾取的异常命令行参数的PowerShell实例。

无文件攻击阶段

其余的威胁行动完全没有文件可言。这些步骤涉及PowerShell从注册表Blob中提取可执行的.NET解码器并将其注入系统进程。然后，解码器提取一个.NET注入器和有效载荷blob。在此阶段，注入程序通过将有效负载插入msbuild.exe应用程序中来继续加载有效负载。

应该注意的是，几个字符串，即初始ZIP文件的名称（Timbres-electroniques）以及注册表项之一（Entreur），都是源自法国的单词。那么，检测到的MoDi RAT目标中有多家法国公司可能就不足为奇了。