VBA RAT når offer genom pro-Krim-manifest

En ny skadlig kod har använts i den pågående cyberstriden mellan Ryssland och Ukraina om Krimkonflikten. Det nya hotet, kallat VBA RAT, levereras via phishing-e-postmeddelanden, som innehåller ett makrosnört dokument. Luredokumentet är ett manifest som heter ' Манифест.docx '. Dokumentet verkar komma i två varianter, som använder lite olika tekniker för att utföra en inbäddad nyttolast - VBA RAT.

Trojanens mål är att samla in information om det komprometterade systemet, samt att interagera med filsystemet. Operatörerna kan beordra implantatet att radera filer, ladda upp/ladda ner filer och kontrollera vilket antivirusprogram som körs på offrets maskin. Ett av de intressanta fynden relaterade till VBA RAT -kampanjen är att angriparna använder en Internet Explorer -exploatering, som tidigare använts av Lazarus Hacking Group . Det är dock högst osannolikt att hotaktörerna bakom VBA RAT har något gemensamt med den ökända Lazarus APT.

VBA RAT kontrollerar regelbundet nya instruktioner

Sättet som VBA RAT tar emot kommando är också något unikt. Istället för att ständigt lyssna efter kommandon använder den ett litet skript som utlöses var 10: e minut. När det gått 10 minuter, kontaktar implantatet kommandot-och-kontrollservern och söker efter nya kommandon-om det inte finns något upprepar det uppgiften efter tio minuter till.

Skadlig programvara hanteras via en webbaserad kontrollpanel, som innehåller information om offren för närvarande online-plats, IP-adress, operativsystem och mer. Det är högst osannolikt att VBA RAT kommer att användas mot vanliga invånare i Ryssland eller Ukraina - istället är dess främsta mål sannolikt individer som är inblandade i Krimkonflikten.

Ändå kan attacker som den som VBA RAT utför stoppas genom att använda en uppdaterad programvara mot anti-malware.