VBA RAT

Pełnoprawny RAT VBA został wykryty w ramach nowej operacji ataku na rosyjskie i prorosyjskie podmioty. Do tej pory sprawca zagrożenia nie został jednoznacznie określony, a pewne dowody wskazują, że może to być nowo powstała grupa hakerów. Zagrożenie złośliwym oprogramowaniem jest dostarczane do maszyn ofiar za pośrednictwem dokumentu-wabika zawierającego manifest dotyczący Krymu, regionu, w którym Rosja i Ukraina są przedmiotem gorących sporów.

Jeden dokument, dwa wektory ataku

Dokument przynęty nosi nazwę „Manifest.docx” (Манифест.docx). Próbuje pobrać i dostarczyć ostateczny ładunek — VBA RAT, za pośrednictwem nie jednego, ale dwóch oddzielnych wektorów infekcji. Po pierwsze, szablon oparty na makrach wskazujący adres URL ze zdalnym szablonem, który zawiera ładunek RAT. Drugi wektor wykorzystuje exploita Internet Explorera oznaczonego jako CVE-2021-26411. Luka umożliwia podmiotowi działającemu zagrożenie wykonanie szelkodu, który wdraża to samo zagrożenie VBA RAT.

Szkodliwe możliwości

VBA RAT jest wyposażony we wszystkie możliwości, jakich oczekuje się od tego typu złośliwego oprogramowania. Zbiera dane o ofierze i przekazuje je napastnikowi. Może manipulować plikami (usuwać, przesyłać lub pobierać) przechowywanymi w zaatakowanych systemach, odczytywać dyski i inne informacje systemowe. RAT może również wykonywać dowolne polecenia. Aby uniknąć łatwego wykrycia przez produkty chroniące przed złośliwym oprogramowaniem, zagrożenie unika typowych wywołań API używanych do wykonania szelkodu. Zamiast tego VBA RAT ucieka się do EnumWindows, aby osiągnąć te same groźne cele.