VBA RAT

VBA RAT Описание

Полноценный VBA RAT был обнаружен в рамках новой операции по атаке на российские и пророссийские организации. До сих пор окончательно не определен субъект угрозы, и есть определенные свидетельства, указывающие на то, что это может быть недавно возникшая хакерская группа. Угроза вредоносного ПО доставляется на машины жертвы через документ-приманку, содержащий манифест о Крыме, регионе, который горячо оспаривается между Россией и Украиной.

Один документ, два вектора атаки

Документ-приманка называется Manifest.docx (Манифест.docx). Он пытается получить и доставить окончательную полезную нагрузку - VBA RAT не через один, а через два отдельных вектора заражения. Во-первых, шаблон на основе макроса, указывающий на URL-адрес с удаленным шаблоном, который несет полезную нагрузку RAT. Второй вектор злоупотребляет эксплойтом Internet Explorer, обозначенным как CVE-2021-26411. Уязвимость позволяет злоумышленнику выполнить шелл-код, который развертывает ту же угрозу VBA RAT.

Вредные возможности

VBA RAT обладает всеми возможностями, ожидаемыми от этого типа вредоносного ПО. Он собирает данные о жертве и передает их злоумышленнику. Он может манипулировать файлами (удалять, выгружать или скачивать), хранящимися в скомпрометированных системах, читать диски и другую системную информацию. RAT также может выполнять произвольные команды. Чтобы избежать легкого обнаружения антивирусными продуктами, угроза избегает типичных вызовов API, используемых для выполнения шелл-кода. Вместо этого VBA RAT прибегает к EnumWindows для достижения тех же угрожающих целей.