Lime RAT
LimeRATは単純なリモートアクセス型トロイの木馬ですが、それでも脅威の攻撃者に膨大な数の不正な機能を提供します。この脅威は、Windowsシステムに感染するように設計されており、ハッカーのニーズに応じて動作するように調整できるモジュール構成になっています。侵入先のマシンにバックドアを確立し、任意のコマンドを実行できます。指示された場合、LimeRATは、暗号マイナーペイロードを展開するか、ランサムウェアの脅威と同様の方法で対象のファイルタイプをロックする暗号化ルーチンを開始できます。さらに、侵入に成功したすべてのシステムをボットネットに追加できます。
これだけでは不十分な場合、LimeRATは、スクリーンロッカーまたはデータコレクターとして機能し、プライベートデータとファイルを収集して、コマンドアンドコントロール(C2、C&C)サーバーに転送します。アップロードされたすべての情報は、最初にAES暗号化アルゴリズムを使用して暗号化されます。マルウェアの脅威は、感染したシステムに接続されているUSBドライブを検出し、それらを使用してさらに拡散する可能性もあります。
LimeRATには、複数の検出回避および仮想化防止技術があります。仮想マシン(VM)で実行されている兆候をスキャンし、必要に応じてアンインストールできます。
古いExcel暗号化技術による感染
LimeRATは、最近検出された攻撃キャンペーンで読み取り専用のExcelドキュメントとして配布されています。トロイの木馬化されたドキュメントは、選択したターゲットグループを狙ったフィッシングメールに添付されています。ロックされたドキュメントではなく、読み取り専用のドキュメントを使用するという決定は意図的なものです。読み取り専用ファイルは、パスワードを開く必要がなく、古いExcelの悪用手法で使用することもできます。このようなファイルが実行されると、Excelは、埋め込まれたデフォルトのパスワードである「VelvetSweatshop」を使用してファイルを復号化しようとします。また、オンボードマクロを有効にし、破損したペイロードが攻撃チェーンを開始できるようにします。この手法の使用は2013年にさかのぼり、エクスプロイトにはCVE-2012-0158の指定が割り当てられています。この問題はかなり前に対処されましたが、サイバー犯罪者は新しい被害者に感染しようとして再び問題に戻っているようです。