AHK RAT Loader
Oplysninger om en igangværende angrebskampagne, der i sidste ende taber RAT-nyttelast på kompromitterede systemer, er frigivet af sikkerhedsforskere. Ifølge deres fund bruger trusselsskuespilleren et unikt AutoHotKey (AHK) kompileret script som en indledende scenelæsser. Malwaretruslen slettes som en enkeltstående eksekverbar fil, der indeholder en AHK-tolk, AHK-script og yderligere filer inkorporeret via FIleInstall-kommandoen. AHK-skriptsproget repræsenterer en gren af AutoIt-sproget, som ofte bruges til at automatisere rutinemæssige opgaver og simulere brugerinteraktion. For at maskere deres truende værktøjer dropper trusselsaktøren også en legitim applikation til den inficerede maskine.
AHK RAT Loader-kampagnen har udviklet sig hurtigt i månederne, siden den blev lanceret med flere forskellige angrebskæder, der hver især blev mere og mere sofistikerede og opnåede nye funktioner. De endelige RAT-nyttelast har også vist en stor grad af variation med hackere, der i første omgang implementerer VjW0rm og Houdini RAT og derefter skifter til njRAT, LimeRAT og RevengeRAT. En angrebskæde, der bruger AHK RAT Loader, men udviser visse afvigelser fra resten af operationerne i denne kampagne, leverede AsyncRAT som sin endelige nyttelast.
Generelle egenskaber ved AHK RAT Loader
Den første handling, der udføres af AHK-scriptet, er at droppe en legitim applikation i mappen% appdata% på offerets maskine. Derefter fortsætter det med at levere to filer til mappen% programdata% - en launcher ved navn 'conhost.exe' og en manifestfil, der skal gå ved siden af den. Conhost.exe-filen er en legitim applikation, men den udnyttes til at køre en beskadiget manifestfil gennem en sti-kapring. Derefter etablerer et VBSSCript og initierer den endelige RAT-nyttelast til sidst.
Efterfølgende angrebskæder begyndte at inkludere flere teknikker mod AV-løsninger. Et batch-script og en LNK-fil, der peger på det, blev introduceret i et forsøg på at deaktivere Microsoft Defender. Desuden forsøger trusselsaktøren gennem et nyt VBScript at blokere kommunikation for populære anti-malware-produkter ved at manipulere med ofrets HOSTS-fil. En yderligere AHK-eksekverbar opgave var at maskere RAT-nyttelasten yderligere.
De observerede ændringer og introduktionen af nye teknikker viser den varige indsats fra trusselsaktøren bag AHK RAT Loader for at undgå afsløring ved passiv sikkerhedskontrol.
