VBA RAT

En fullvärdig VBA RAT upptäcktes som en del av en ny attackoperation mot ryska och pro-ryska enheter. Hittills har hotaktören inte fastställts slutgiltigt och vissa bevis pekar på att det kan vara en nyutvecklad hackergrupp. Hotet om skadlig programvara levereras till offrets maskiner via ett lockboksdokument som innehåller ett manifest om Krim, en mycket omtvistad region mellan Ryssland och Ukraina.

Ett dokument, två attackvektorer

Lokkdokumentet heter 'Manifest.docx' (Манифест.docx). Den försöker hämta och leverera den slutliga nyttolasten - VBA RAT, via inte en utan två separata infektionsvektorer. Först en makrobaserad mall som pekar mot en URL med en fjärrmall som bär RAT-nyttolasten. Den andra vektorn missbrukar en Internet Explorer-exploatering som kallas CVE-2021-26411. Sårbarheten tillåter hotaktören att köra en skalkod som använder samma VBA RAT -hot.

Skadliga förmågor

VBA RAT är utrustad med alla funktioner som förväntas av denna malware -typ. Den samlar in data om offret och exfiltrerar den till angriparen. Det kan manipulera filerna (radera, ladda upp eller ladda ner) lagrade på de komprometterade systemen, läsa skivor och annan systeminformation. RAT kan också utföra godtyckliga kommandon. För att undvika enkel upptäckt av anti-malware-produkter undviker hotet de typiska API-samtal som används för att köra skalkoder. Istället använder VBA RAT till EnumWindows för att uppnå samma hotfulla mål.