VBA 大鼠

VBA 大鼠說明

作為針對俄羅斯和親俄實體的新攻擊行動的一部分,檢測到一個成熟的 VBA RAT。到目前為止,尚未最終確定威脅行為者,並且某些證據表明它可能是一個新出現的黑客組織。惡意軟件威脅通過包含關於克里米亞宣言的誘餌文件傳送到受害者的機器,克里米亞是俄羅斯和烏克蘭之間競爭激烈的地區。

一份文件,兩種攻擊向量

誘餌文件名為“Manifest.docx”(Манифест.docx)。它試圖通過不是一個而是兩個獨立的感染媒介來獲取和傳遞最終的有效載荷——VBA RAT。首先,基於宏的模板指向帶有遠程模板的 URL,該模板攜帶 RAT 有效負載。第二個向量濫用指定為 CVE-2021-26411 的 Internet Explorer 漏洞。該漏洞允許威脅參與者執行部署相同 VBA RAT 威脅的 shellcode。

有害能力

VBA RAT 配備了此惡意軟件類型所期望的所有功能。它收集有關受害者的數據並將其洩露給攻擊者。它可以操作(刪除、上傳或下載)存儲在受感染系統上的文件、讀取磁盤和其他系統信息。 RAT 還可以執行任意命令。為了避免被反惡意軟件產品輕鬆檢測,該威脅會避免用於執行 shellcode 的典型 API 調用。相反,VBA RAT 訴諸 EnumWindows 來實現相同的威脅目標。