MoDi RAT

Eine neue Angriffskampagne mit dem RAS-Trojaner MoDi RAT wurde von Cybersicherheitsexperten entdeckt. Die Bedrohung besitzt alle von einer RAT erwarteten Bedrohungsfunktionen. MoDi RAT ermöglicht den Angreifern den Fernzugriff auf den infizierten Computer. Auf diese Weise können die Hacker beliebige Befehle ausführen, das Dateisystem manipulieren, Informationen von Interesse, die vom gefährdeten Gerät gesammelt wurden, herausfiltern oder zusätzliche bedrohliche Nutzdaten bereitstellen.

MoDi RAT kann auch versuchen, eine Verbindung zu zusätzlichen Command-and-Control-Servern (C2, C & C) herzustellen. Dies bedeutet, dass alle gesammelten Dateien oder privaten Daten übertragen und auf mehr als einen externen Server hochgeladen werden können. Die gesammelten Daten können detaillierte Host- und Systeminformationen, vertrauliche Anmeldeinformationen sowie finanzielle Details enthalten.

Die interessantesten Aspekte, die von Infosec-Forschern aufgedeckt wurden, waren jedoch nicht mit der Bedrohung selbst verbunden, sondern mit der Methode, mit der MoDi RAT bereitgestellt wurde.

Eine verschlungene Angriffskette liefert MoDi-RAT

Bevor die endgültige Nutzlast, die aus MoDi RAT besteht, auf dem gefährdeten System festgelegt wird, durchläuft der Angriff mehrere Phasen und umfasst einige raffinierte Tricks, um eine Erkennung zu vermeiden. Der anfängliche Angriffsvektor ist höchstwahrscheinlich eine Spam-E-Mail-Kampagne, die E-Mails mit beschädigten Anhängen verbreitet. Wenn der Benutzer den E-Mail-Anhang ausführt, wird ein Visual Basic-Skript ausgelöst, das eine Verbindung zu einem Remotestandort herstellt, der als Einstiegspunkt für mehrere HTTP 302-Weiterleitungen fungiert, bevor er schließlich zu einer auf OneDrive gehosteten ZIP-Archivdatei gelangt. Das Archiv enthält eine codierte VBS-Datei (VBE).

Währenddessen legt das erste VBS-Skript eine zweite VBS-Datei im Dateisystem ab und fügt drei Daten-Blob-Einträge in die Windows-Registrierung ein, die in den folgenden Phasen des Angriffs verwendet werden. Danach wird eine geplante Aufgabe erstellt, die für die Ausführung des VBS-Skripts zu einem festgelegten Zeitpunkt in der Zukunft verantwortlich ist. Der VBS-Code startet wiederum PowerShell und fügt die erforderlichen Befehle in die Zwischenablage des Systems ein. Die Bedrohung übermittelt die Befehle dann programmgesteuert über den Befehl VBS SendKeys an das PowerShell-Fenster. Durch diese Technik wird vermieden, dass eine PowerShell-Instanz mit ungewöhnlichen Befehlszeilenparametern erzeugt wird, die möglicherweise von Sicherheitsprodukten erfasst werden.

Dateilose Angriffsphase

Der Rest der drohenden Aktionen ist völlig feilenlos. Die Schritte umfassen, dass PowerShell eine ausführbare .NET-Decoderdatei aus den Registrierungsblobs extrahiert und in einen Systemprozess einfügt. Der Decoder extrahiert dann einen .NET-Injektor und Nutzlast-Blobs. In dieser Phase lädt der Injektor die Nutzlast, indem er sie in die Anwendung msbuild.exe einfügt.

Es ist zu beachten, dass mehrere Zeichenfolgen, der Name der ursprünglichen ZIP-Datei (Timbres-Electroniques) sowie einer der Registrierungsschlüssel (Entreur) alle Wörter französischen Ursprungs sind. Es ist daher nicht verwunderlich, dass unter den erkannten Zielen von MoDi RAT mehrere französische Unternehmen waren.