AHKRATローダー

RATペイロードを侵害されたシステムにドロップする進行中の攻撃キャンペーンの詳細は、最終的にセキュリティ研究者によって発表されました。彼らの調査結果によると、攻撃者は、初期段階のローダーとして、独自のAutoHotKey（AHK）コンパイル済みスクリプトを使用しています。マルウェアの脅威は、AHKインタープリター、AHKスクリプト、およびFIleInstallコマンドを介して組み込まれた追加ファイルを含むスタンドアロンの実行可能ファイルとしてドロップされます。 AHKスクリプト言語は、AutoIt言語のブランチを表します。これは、日常的なタスクの自動化やユーザーの操作のシミュレーションによく使用されます。脅威を与えるツールを隠すために、攻撃者は正当なアプリケーションを感染したマシンにドロップします。

AHK RATローダーキャンペーンは、複数の異なる攻撃チェーンで開始されてから数か月で急速に進化し、それぞれがますます洗練され、新しい機能を獲得しています。最終的なRATペイロードも、ハッカーが最初にVjW0rmとHoudini RATを展開し、次にnjRAT 、 LimeRAT 、およびRevengeRATに切り替えることで、非常に多様性を示しています。 AHK RATローダーを使用するが、このキャンペーンの他の操作から一定の逸脱を示す攻撃チェーンは、最終的なペイロードとしてAsyncRATを配信しました。

AHKRATローダーの一般的な特性

AHKスクリプトによって実行される最初のアクションは、正当なアプリケーションを被害者のマシンの％appdata％ディレクトリにドロップすることです。次に、2つのファイルを％programdata％ディレクトリに配信します。「conhost.exe」という名前のランチャーと、それに付随する必要のあるマニフェストファイルです。 conhost.exeファイルは正規のアプリケーションですが、パスハイジャックを介して破損したマニフェストファイルを実行するために悪用されます。次に、VBSSCriptは、最終的なRATペイロードを確立して開始します。

その後の攻撃チェーンには、AVソリューションに対するより多くの技術が含まれるようになりました。 Microsoft Defenderを無効にするために、バッチスクリプトとそれを指すLNKファイルが導入されました。さらに、新しいVBScriptを介して、攻撃者は被害者のHOSTSファイルを改ざんすることにより、人気のあるマルウェア対策製品の通信をブロックしようとします。追加のAHK実行可能ファイルは、RATペイロードをさらにマスキングするタスクを実行しました。

観察された変更と新しい技術の導入は、パッシブセキュリティ制御による検出を回避するためのAHKRATローダーの背後にある脅威アクターの永続的な努力を示しています。