AHK RAT Loader

Details over een voortdurende aanvalscampagne die RAT-payloads op gecompromitteerde systemen laat vallen, zijn uiteindelijk vrijgegeven door beveiligingsonderzoekers. Volgens hun bevindingen gebruikt de bedreigingsacteur een uniek AutoHotKey (AHK) gecompileerd script als een lader voor de eerste fase. De malwarebedreiging wordt verwijderd als een zelfstandig uitvoerbaar bestand dat een AHK-interpreter, AHK-script en aanvullende bestanden bevat die zijn opgenomen via de opdracht FIleInstall. De AHK-scripttaal vertegenwoordigt een tak van de AutoIt-taal, die vaak wordt gebruikt voor het automatiseren van routinetaken en het simuleren van gebruikersinteractie. Om hun bedreigende tools te maskeren, laat de bedreigingsacteur ook een legitieme toepassing op de geïnfecteerde machine vallen.

De AHK RAT Loader-campagne is snel geëvolueerd in de maanden sinds de lancering met meerdere verschillende aanvalsketens, die elk steeds geavanceerder werden en nieuwe functionaliteiten bereikten. De uiteindelijke RAT-payloads lieten ook een grote mate van variatie zien met de hackers die aanvankelijk de VjW0rm en de Houdini RAT gebruikten en vervolgens overschakelden naar de njRAT , de LimeRAT en de RevengeRAT . Een aanvalsketen die de AHK RAT Loader gebruikt maar bepaalde afwijkingen vertoont van de rest van de operaties in deze campagne leverde de AsyncRAT als zijn laatste payload.

Algemene kenmerken van de AHK RAT Loader

De eerste actie die door het AHK-script wordt ondernomen, is om een legitieme toepassing in de map% appdata% op de computer van het slachtoffer te plaatsen. Vervolgens worden twee bestanden afgeleverd in de map% programdata% - een opstartprogramma met de naam 'conhost.exe' en een manifestbestand dat ernaast moet staan. Het bestand conhost.exe is een legitieme toepassing, maar het wordt misbruikt om een beschadigd manifestbestand uit te voeren via een padkaping. Dan zal een VBSSCript uiteindelijk de uiteindelijke RAT-payload vaststellen en starten.

Latere aanvalsketens begonnen meer technieken tegen AV-oplossingen te bevatten. Een batch-script en een LNK-bestand die ernaar verwijzen, zijn geïntroduceerd in een poging om Microsoft Defender uit te schakelen. Bovendien probeert de bedreigingsacteur via een nieuw VBScript de communicatie voor populaire antimalwareproducten te blokkeren door te knoeien met het HOSTS-bestand van het slachtoffer. Een extra AHK-uitvoerbaar bestand kreeg de taak om de RAT-payload verder te maskeren.

De waargenomen wijzigingen en de introductie van nieuwe technieken tonen de blijvende inspanningen van de dreigingsacteur achter de AHK RAT Loader om detectie door passieve beveiligingscontroles te voorkomen.