VBARAT
本格的なVBARATは、ロシアおよび親ロシアのエンティティに対する新しい攻撃操作の一部として検出されました。これまでのところ、脅威のアクターは決定的に決定されておらず、特定の証拠は、それが新たに出現したハッカーグループである可能性があることを示しています。マルウェアの脅威は、ロシアとウクライナの間で激しく争われている地域であるクリミアに関するマニフェストを含むルアードキュメントを介して被害者のマシンに配信されます。
1つのドキュメント、2つの攻撃ベクトル
ルアードキュメントの名前は「Manifest.docx」(Манифест.docx)です。 1つではなく2つの別々の感染ベクトルを介して、最終的なペイロードであるVBARATをフェッチして配信しようとします。まず、RATペイロードを運ぶリモートテンプレートを持つURLを指すマクロベースのテンプレート。 2番目のベクターは、CVE-2021-26411として指定されたInternetExplorerのエクスプロイトを悪用します。この脆弱性により、脅威アクターは同じVBARAT脅威を展開するシェルコードを実行できます。
有害な機能
VBA RATは、このマルウェアタイプに期待されるすべての機能を備えています。被害者に関するデータを収集し、攻撃者に盗み出します。侵害されたシステムに保存されているファイル(削除、アップロード、またはダウンロード)を操作したり、ディスクやその他のシステム情報を読み取ったりすることができます。 RATは任意のコマンドを実行することもできます。マルウェア対策製品による簡単な検出を回避するために、脅威はシェルコードの実行に使用される一般的なAPI呼び出しを回避します。代わりに、VBARATは同じ脅威的な目標を達成するためにEnumWindowsに頼っています。
