VBA RAT

Een volwaardige VBA RAT werd gedetecteerd als onderdeel van een nieuwe aanvalsoperatie tegen Russische en pro-Russische entiteiten. Tot nu toe is de dreigingsactor niet definitief vastgesteld en bepaalde bewijzen wijzen erop dat het mogelijk een nieuw opgekomen hackergroep is. De malware-dreiging wordt op de machines van het slachtoffer afgeleverd via een lokdocument met daarin een manifest over de Krim, een fel omstreden regio tussen Rusland en Oekraïne.

Eén document, twee aanvalsvectoren

Het lokdocument heet 'Manifest.docx' (Манифест.docx). Het probeert de uiteindelijke payload op te halen en af te leveren - de VBA RAT, via niet één maar twee afzonderlijke infectievectoren. Ten eerste een op macro's gebaseerde sjabloon die verwijst naar een URL met een externe sjabloon die de RAT-payload draagt. De tweede vector misbruikt een Internet Explorer-exploit die wordt aangeduid als CVE-2021-26411. De kwetsbaarheid stelt de dreigingsactor in staat om een shellcode uit te voeren die dezelfde VBA RAT-dreiging implementeert.

Schadelijke mogelijkheden

De VBA RAT is uitgerust met alle mogelijkheden die van dit type malware worden verwacht. Het verzamelt gegevens over het slachtoffer en exfiltreert deze naar de aanvaller. Het kan de bestanden manipuleren (verwijderen, uploaden of downloaden) die zijn opgeslagen op de gecompromitteerde systemen, schijven lezen en andere systeeminformatie. De RAT kan ook willekeurige commando's uitvoeren. Om gemakkelijke detectie door anti-malwareproducten te voorkomen, vermijdt de dreiging de typische API-aanroepen die worden gebruikt voor het uitvoeren van shellcode. In plaats daarvan neemt VBA RAT zijn toevlucht tot EnumWindows om dezelfde bedreigende doelen te bereiken.