MoDi RAT

リモートアクセス型トロイの木馬MoDiRATを提供する新しい攻撃キャンペーンが、サイバーセキュリティの専門家によって検出されました。この脅威は、RATに期待されるすべての脅威機能を備えています。 MoDi RATは、攻撃者に感染したコンピューターへのリモートアクセスを提供します。これにより、ハッカーは任意のコマンドを実行したり、ファイルシステムを操作したり、侵入先のデバイスから収集された関心のある情報を盗み出したり、追加の脅威となるペイロードを配信したりできます。

MoDi RATは、追加のコマンドアンドコントロール（C2、C＆C）サーバーへの接続を試みることもできます。つまり、収集されたファイルやプライベートデータを送信して、複数の外部サーバーにアップロードできます。収集されるデータには、ホストとシステムの詳細情報、機密性の高いログイン資格情報、および財務情報が含まれる可能性があります。

ただし、infosecの研究者によって明らかにされた最も興味深い側面は、脅威自体ではなく、MoDiRATが提供された方法に関連していました。

複雑な攻撃-チェーンがMoDiRATをドロップ

MoDi RATで構成される最終的なペイロードが侵害されたシステムに確立される前に、攻撃は複数の段階を経て、検出を回避するように設計されたいくつかの気の利いたトリックを伴います。最初の攻撃ベクトルは、破損した添付ファイルを含む電子メールを広めるスパム電子メールキャンペーンである可能性が最も高いです。ユーザーが電子メールの添付ファイルを実行すると、OneDriveでホストされている.ZIPアーカイブファイルに最終的に到達する前に、いくつかのHTTP302リダイレクトのエントリポイントとして機能するリモートサイトに接続するVisualBasicスクリプトがトリガーされます。アーカイブには、エンコードされたVBS（VBE）ファイルが含まれています。

一方、最初のVBSスクリプトは、2番目のVBSファイルをファイルシステムにドロップし、攻撃の次の段階で使用される3つのデータblobエントリをWindowsレジストリに挿入します。その後、将来の所定の時点でVBSスクリプトを実行するためのスケジュールされたタスクの作成に進みます。次に、VBSコードはPowerShellを起動し、必要なコマンドをシステムのクリップボードに挿入します。次に、脅威はVBSSendKeysコマンドを介してプログラムでコマンドをPowerShellウィンドウに配信します。この手法により、セキュリティ製品によって取得される可能性のある異常なコマンドラインパラメーターを含むPowerShellインスタンスが生成されるのを回避できます。

ファイルレス攻撃フェーズ

残りの脅迫的な行動は完全にファイルレスです。この手順には、PowerShellがレジストリBLOBから.NETデコーダー実行可能ファイルを抽出し、それをシステムプロセスに挿入することが含まれます。次に、デコーダーは.NETインジェクターとペイロードブロブを抽出します。このフェーズでは、インジェクターはペイロードをmsbuild.exeアプリケーションに挿入することでペイロードの読み込みを続行します。

いくつかの文字列、最初のZIPファイルの名前（Timbres-electroniques）、およびレジストリキーの1つ（Entreur）は、すべてフランス語を起源とする単語であることに注意してください。 MoDi RATの検出されたターゲットの中に、複数のフランス企業が含まれていたことは驚くことではないかもしれません。