AHK RAT Loader
Details zu einer laufenden Angriffskampagne, bei der RAT-Nutzdaten auf gefährdete Systeme abgelegt werden, wurden letztendlich von Sicherheitsforschern veröffentlicht. Ihren Erkenntnissen zufolge verwendet der Bedrohungsakteur ein einzigartiges AutoHotKey (AHK) -kompiliertes Skript als Loader für die Anfangsphase. Die Malware-Bedrohung wird als eigenständige ausführbare Datei geliefert, die einen AHK-Interpreter, ein AHK-Skript und zusätzliche Dateien enthält, die über den Befehl FIleInstall integriert wurden. Die AHK-Skriptsprache stellt einen Zweig der AutoIt-Sprache dar, der häufig zur Automatisierung von Routineaufgaben und zur Simulation der Benutzerinteraktion verwendet wird. Um ihre Bedrohungswerkzeuge zu maskieren, legt der Bedrohungsakteur auch eine legitime Anwendung auf dem infizierten Computer ab.
Die AHK RAT Loader-Kampagne hat sich in den Monaten seit ihrem Start mit mehreren unterschiedlichen Angriffsketten, die jeweils immer ausgefeilter werden und neue Funktionen erhalten, rasant weiterentwickelt. Die endgültigen RAT-Nutzdaten zeigten auch ein hohes Maß an Abwechslung, da die Hacker zunächst den VjW0rm und den Houdini RAT einsetzten und dann auf den njRAT, den LimeRAT und den RevengeRAT umstellten. Eine Angriffskette, die den AHK RAT Loader verwendet, jedoch gewisse Abweichungen von den übrigen Vorgängen in dieser Kampagne aufweist, lieferte den AsyncRAT als endgültige Nutzlast.
Allgemeine Eigenschaften des AHK RAT Loader
Die erste Aktion des AHK-Skripts besteht darin, eine legitime Anwendung im Verzeichnis% appdata% auf dem Computer des Opfers abzulegen. Anschließend werden zwei Dateien in das Verzeichnis% programdata% übertragen - ein Launcher mit dem Namen 'conhost.exe' und eine Manifestdatei, die daneben stehen muss. Die Datei conhost.exe ist eine legitime Anwendung, wird jedoch ausgenutzt, um eine beschädigte Manifestdatei über einen Pfad-Hijack auszuführen. Anschließend erstellt und initiiert ein VBSSCript die endgültige RAT-Nutzlast.
Nachfolgende Angriffsketten enthielten mehr Techniken gegen AV-Lösungen. Ein Batch-Skript und eine darauf verweisende LNK-Datei wurden eingeführt, um Microsoft Defender zu deaktivieren. Darüber hinaus versucht der Bedrohungsakteur über ein neues VBScript, die Kommunikation für beliebte Anti-Malware-Produkte zu blockieren, indem er die HOSTS-Datei des Opfers manipuliert. Eine zusätzliche ausführbare AHK-Datei wurde beauftragt, die RAT-Nutzdaten weiter zu maskieren.
Die beobachteten Änderungen und die Einführung neuer Techniken zeigen die anhaltenden Bemühungen des Bedrohungsakteurs hinter dem AHK RAT Loader, die Erkennung durch passive Sicherheitskontrollen zu vermeiden.
