魔迪鼠

網絡安全專家檢測到一個新的提供遠程訪問Trojan MoDi RAT的攻擊活動。該威脅具有RAT預期的所有威脅功能。 MoDi RAT使攻擊者可以遠程訪問受感染的計算機。這使黑客能夠執行任意命令，操縱文件系統，洩露從受感染設備中收集到的感興趣的信息或提供其他威脅性有效負載。

MoDi RAT還可以嘗試連接到其他命令和控制（C2，C＆C）服務器，這意味著隨後可以將任何已收穫的文件或私有數據傳輸並上傳到多個外部服務器。收集的數據可能包括詳細的主機和系統信息，敏感的登錄憑據以及財務詳細信息。

但是，信息安全研究人員發現的最有趣的方面與威脅本身無關，而與MoDi RAT的交付方式有關。

複雜的攻擊鏈掉落了MoDi RAT

在由MoDi RAT組成的最終有效負載建立到受感染系統之前，攻擊要經歷多個階段，並且涉及一些旨在避免檢測的巧妙技巧。最初的攻擊媒介很可能是垃圾電子郵件活動，用於傳播帶有損壞附件的電子郵件。當用戶執行電子郵件附件時，它會觸發一個Visual Basic腳本，該腳本將連接到充當多個HTTP 302重定向入口點的遠程站點，然後最終到達OneDrive上託管的.ZIP存檔文件。存檔包含一個編碼的VBS（VBE）文件。

同時，初始VBS腳本將第二個VBS文件拖放到文件系統中，並將三個數據Blob條目注入Windows註冊表中，這些條目將在攻擊的後續階段中使用。之後，它將繼續創建計劃任務，該任務負責在將來的預定時間點運行VBS腳本。 VBS代碼依次啟動PowerShell，並將所需的命令插入系統的剪貼板中。然後，威脅會通過VBS SendKeys命令以編程方式將命令傳遞到PowerShell窗口。此技術避免生成包含安全產品可能拾取的異常命令行參數的PowerShell實例。

無文件攻擊階段

其餘的威脅行動完全沒有文件可言。這些步驟涉及PowerShell從註冊表Blob中提取可執行的.NET解碼器並將其註入系統進程。然後，解碼器提取一個.NET注入器和有效載荷blob。在此階段，注入程序通過將有效負載插入msbuild.exe應用程序中來繼續加載有效負載。

應該注意的是，幾個字符串，即初始ZIP文件的名稱（Timbres-electroniques）以及註冊表項之一（Entreur），都是源自法國的單詞。那麼，檢測到的MoDi RAT目標中有多家法國公司可能就不足為奇了。