Погрузчик AHK RAT

Подробности о продолжающейся кампании атаки, которая сбрасывает полезные данные RAT на скомпрометированные системы, в конечном итоге были опубликованы исследователями безопасности. Согласно их результатам, злоумышленник использует уникальный скомпилированный скрипт AutoHotKey (AHK) в качестве загрузчика начальной стадии. Угроза вредоносного ПО удаляется в виде отдельного исполняемого файла, который содержит интерпретатор AHK, сценарий AHK и дополнительные файлы, включенные с помощью команды FIleInstall. Язык сценариев AHK представляет собой ветвь языка AutoIt, который часто используется для автоматизации рутинных задач и моделирования взаимодействия с пользователем. Чтобы замаскировать свои угрожающие инструменты, злоумышленник также передает на зараженную машину легитимное приложение.

Кампания AHK RAT Loader быстро развивалась за несколько месяцев с момента ее запуска с использованием нескольких различных цепочек атак, каждая из которых становится все более сложной и приобретает новые функции. Окончательные полезные нагрузки RAT также показали большую степень разнообразия: хакеры сначала развернули VjW0rm и Houdini RAT, а затем переключились на njRAT , LimeRAT и RevengeRAT . Цепочка атак, использующая AHK RAT Loader, но демонстрирующая определенные отклонения от остальных операций в этой кампании, доставляла AsyncRAT в качестве конечной полезной нагрузки.

Общие характеристики погрузчика AHK RAT

Первое действие, предпринимаемое сценарием AHK, - это перетаскивание легитимного приложения в каталог% appdata% на машине жертвы. Затем он переходит к доставке двух файлов в каталог% programdata% - средства запуска с именем conhost.exe и файла манифеста, который должен находиться рядом с ним. Файл conhost.exe является законным приложением, но он используется для запуска поврежденного файла манифеста путем перехвата пути. Затем VBSSCript в конечном итоге установит и инициирует окончательную полезную нагрузку RAT.

Последующие цепочки атак стали включать больше методов против антивирусных решений. Пакетный сценарий и указывающий на него LNK-файл были введены в попытке отключить Microsoft Defender. Кроме того, с помощью нового сценария VBScript злоумышленник пытается заблокировать обмен данными для популярных продуктов для защиты от вредоносных программ, изменяя файл HOSTS жертвы. Дополнительному исполняемому файлу AHK было поручено дополнительно маскировать полезную нагрузку RAT.

Наблюдаемые модификации и внедрение новых методов демонстрируют постоянные усилия злоумышленника, стоящего за загрузчиком AHK RAT, чтобы избежать обнаружения с помощью пассивных средств контроля безопасности.