VBA 쥐

VBA 쥐 설명

본격적인 VBA RAT는 러시아 및 친러시아 단체에 대한 새로운 공격 작전의 일부로 탐지되었습니다. 지금까지 위협 행위자는 결정적으로 결정되지 않았으며 특정 증거는 이것이 새로 등장한 해커 그룹일 수 있다고 지적합니다. 악성코드 위협은 러시아와 우크라이나 사이의 치열한 분쟁 지역인 크림 반도에 대한 선언문이 포함된 유인 문서를 통해 피해자의 컴퓨터에 전달됩니다.

하나의 문서, 두 개의 공격 벡터

미끼 문서의 이름은 'Manifest.docx'(Манифест.docx)입니다. 하나가 아닌 두 개의 개별 감염 벡터를 통해 최종 페이로드인 VBA RAT를 가져와 전달하려고 시도합니다. 첫째, RAT 페이로드를 전달하는 원격 템플릿이 있는 URL을 가리키는 매크로 기반 템플릿입니다. 두 번째 벡터는 CVE-2021-26411로 지정된 Internet Explorer 익스플로잇을 악용합니다. 이 취약점으로 인해 위협 행위자는 동일한 VBA RAT 위협을 배포하는 셸코드를 실행할 수 있습니다.

유해한 능력

VBA RAT는 이 맬웨어 유형에서 예상되는 모든 기능을 갖추고 있습니다. 피해자에 대한 데이터를 수집하여 공격자에게 유출합니다. 감염된 시스템에 저장된 파일을 조작(삭제, 업로드 또는 다운로드)하고 디스크 및 기타 시스템 정보를 읽을 수 있습니다. RAT는 또한 임의의 명령을 실행할 수 있습니다. 맬웨어 방지 제품의 쉬운 탐지를 피하기 위해 위협 요소는 셸 코드 실행에 사용되는 일반적인 API 호출을 피합니다. 대신 VBA RAT는 동일한 위협적인 목표를 달성하기 위해 EnumWindows에 의존합니다.