VBA RAT

En fuldgyldig VBA RAT blev opdaget som led i en ny angrebsaktion mod russiske og pro-russiske enheder. Indtil videre er trusselsaktøren ikke fastlagt endegyldigt, og visse beviser peger på, at det kan være en nyopstået hackergruppe. Malware -truslen leveres til offerets maskiner via et lokkedokument, der indeholder et manifest om Krim, en meget omstridt region mellem Rusland og Ukraine.

Et dokument, to angrebsvektorer

Lokkedokumentet hedder 'Manifest.docx' (Манифест.docx). Det forsøger at hente og levere den endelige nyttelast - VBA RAT, via ikke én, men to separate infektionsvektorer. Først en makrobaseret skabelon, der peger mod en URL med en fjernskabelon, der bærer RAT-nyttelasten. Den anden vektor misbruger en Internet Explorer-udnyttelse betegnet CVE-2021-26411. Sårbarheden giver trusselsaktøren mulighed for at udføre en shellcode, der anvender den samme VBA RAT -trussel.

Skadelige muligheder

VBA RAT er udstyret med alle de funktioner, der forventes af denne malware -type. Det indsamler data om offeret og eksfiltrerer det til angriberen. Det kan manipulere filerne (slette, uploade eller downloade) gemt på de kompromitterede systemer, læse diske og andre systemoplysninger. RAT'en kan også udføre vilkårlige kommandoer. For at undgå let opdagelse af anti-malware-produkter undgår truslen de typiske API-opkald, der bruges til udførelse af shellcode. I stedet tyer VBA RAT til EnumWindows for at nå de samme truende mål.