VBA RAT

Rus ve Rus yanlısı varlıklara yönelik yeni bir saldırı operasyonunun parçası olarak tam teşekküllü bir VBA RAT tespit edildi. Şu ana kadar tehdit aktörü kesin olarak belirlenememiş ve bazı kanıtlar bunun yeni ortaya çıkan bir hacker grubu olabileceğine işaret ediyor. Kötü amaçlı yazılım tehdidi, kurbanın makinelerine, Rusya ve Ukrayna arasında çok çekişmeli bir bölge olan Kırım hakkında bir manifesto içeren bir cazibe belgesi aracılığıyla iletilir.

Bir Belge, İki Saldırı Vektörü

Cazibe belgesi 'Manifest.docx' (Манифест.docx) olarak adlandırılır. Bir değil iki ayrı enfeksiyon vektörü aracılığıyla son yükü - VBA RAT'ı getirmeye ve iletmeye çalışır. İlk olarak, RAT yükünü taşıyan uzak bir şablona sahip bir URL'ye işaret eden makro tabanlı bir şablon. İkinci vektör, CVE-2021-26411 olarak belirlenmiş bir Internet Explorer istismarını kötüye kullanır. Güvenlik açığı, tehdit aktörünün aynı VBA RAT tehdidini dağıtan bir kabuk kodu yürütmesine olanak tanır.

Zararlı Yetenekler

VBA RAT, bu kötü amaçlı yazılım türünden beklenen tüm yeteneklerle donatılmıştır. Kurban hakkında veri toplar ve saldırgana verir. Güvenliği ihlal edilmiş sistemlerde depolanan dosyaları değiştirebilir (silebilir, karşıya yükleyebilir veya indirebilir), diskleri ve diğer sistem bilgilerini okuyabilir. RAT ayrıca isteğe bağlı komutları da yürütebilir. Kötü amaçlı yazılımdan koruma ürünleri tarafından kolay algılanmayı önlemek için tehdit, kabuk kodu yürütme için kullanılan tipik API çağrılarından kaçınır. Bunun yerine, VBA RAT, aynı tehdit edici hedeflere ulaşmak için EnumWindows'a başvurur.