AHK RAT装载机

安全研究人员已经发布了有关正在进行的攻击活动的详细信息，该攻击活动最终将RAT有效载荷放置到受损的系统上。根据他们的发现，威胁参与者正在使用唯一的AutoHotKey（AHK）编译脚本作为初始加载程序。恶意软件威胁作为独立的可执行文件被删除，其中包含AHK解释器，AHK脚本以及通过FIleInstall命令合并的其他文件。 AHK脚本语言代表AutoIt语言的一种分支，通常用于自动执行例行任务和模拟用户交互。为了掩盖其威胁工具，威胁参与者还将合法应用程序丢弃到了受感染的计算机上。

自推出以来，AHK RAT装载机战役已发展迅速，具有多个不同的攻击链，每个攻击链都变得越来越复杂，并获得了新的功能。黑客最初部署VjW0rm和Houdini RAT，然后切换到njRAT ， LimeRAT和RevengeRAT，最终的RAT负载也表现出极大的多样性。一个攻击链使用了AHK RAT加载程序，但与该活动中的其他操作有所偏差，因此将AsyncRAT作为其最终有效载荷。

AHK RAT装载机的一般特征

AHK脚本采取的第一步是将合法应用程序放入受害者计算机上的％appdata％目录中。然后，它将继续将两个文件传递到％programdata％目录中-名为" conhost.exe"的启动器和必须与之并存的清单文件。 conhost.exe文件是合法的应用程序，但被利用来通过路径劫持来运行损坏的清单文件。然后，VBSSCript将最终建立并启动最终的RAT有效负载。

随后的攻击链开始包括针对视音频解决方案的更多技术。尝试禁用Microsoft Defender引入了批处理脚本和指向该脚本的LNK文件。此外，威胁参与者通过新的VBScript试图通过篡改受害者的HOSTS文件来阻止流行的反恶意软件产品的通信。另一个AHK可执行文件的任务是进一步屏蔽RAT有效负载。

观察到的修改和新技术的引入表明，威胁参与者在AHK RAT装载程序背后的持久努力是为了避免被被动安全控件检测到。