VBA 大鼠

VBA 大鼠说明

作为针对俄罗斯和亲俄实体的新攻击行动的一部分,检测到一个成熟的 VBA RAT。到目前为止,尚未最终确定威胁行为者,并且某些证据表明它可能是一个新出现的黑客组织。恶意软件威胁通过包含克里米亚宣言的诱饵文件传送到受害者的机器上,克里米亚是俄罗斯和乌克兰之间竞争激烈的地区。

一份文件,两种攻击向量

诱饵文件名为“Manifest.docx”(Манифест.docx)。它试图通过不是一个而是两个独立的感染媒介来获取和传递最终的有效载荷——VBA RAT。首先,基于宏的模板指向带有远程模板的 URL,该模板携带 RAT 有效负载。第二个向量滥用指定为 CVE-2021-26411 的 Internet Explorer 漏洞。该漏洞允许威胁参与者执行部署相同 VBA RAT 威胁的 shellcode。

有害能力

VBA RAT 配备了此恶意软件类型所期望的所有功能。它收集有关受害者的数据并将其泄露给攻击者。它可以操作(删除、上传或下载)存储在受感染系统上的文件、读取磁盘和其他系统信息。 RAT 还可以执行任意命令。为了避免被反恶意软件产品轻松检测,该威胁会避免用于执行 shellcode 的典型 API 调用。相反,VBA RAT 诉诸 EnumWindows 来实现相同的威胁目标。