VBA-RAT

Im Rahmen einer neuen Angriffsoperation gegen russische und prorussische Einheiten wurde eine vollwertige VBA-RAT entdeckt. Bislang ist der Bedrohungsakteur noch nicht schlüssig bestimmt worden und es gibt Hinweise darauf, dass es sich um eine neu entstandene Hackergruppe handeln könnte. Die Malware-Bedrohung wird über ein lockendes Dokument mit einem Manifest über die Krim, eine heiß umkämpfte Region zwischen Russland und der Ukraine, auf die Computer des Opfers übertragen.

Ein Dokument, zwei Angriffsvektoren

Das Köderdokument heißt 'Manifest.docx' (Манифест.docx). Es versucht, die endgültige Nutzlast – die VBA-RAT – über nicht einen, sondern zwei separate Infektionsvektoren abzurufen und zu übermitteln. Zuerst kommt eine makrobasierte Vorlage, die auf eine URL mit einer Remote-Vorlage verweist, die die RAT-Nutzlast trägt. Der zweite Vektor missbraucht einen Internet Explorer-Exploit mit der Bezeichnung CVE-2021-26411. Die Schwachstelle ermöglicht es dem Bedrohungsakteur, einen Shellcode auszuführen, der dieselbe VBA-RAT-Bedrohung bereitstellt.

Schädliche Fähigkeiten

Die VBA RAT ist mit allen Funktionen ausgestattet, die man von diesem Malware-Typ erwartet. Es sammelt Daten über das Opfer und exfiltriert diese an den Angreifer. Es kann die auf den kompromittierten Systemen gespeicherten Dateien manipulieren (löschen, hochladen oder herunterladen), sowie Datenträger und andere Systeminformationen lesen. Die RAT kann auch beliebige Befehle ausführen. Um eine einfache Erkennung durch Anti-Malware-Produkte zu vermeiden, vermeidet die Bedrohung die typischen API-Aufrufe, die für die Shellcode-Ausführung verwendet werden. Stattdessen greift VBA RAT auf EnumWindows zurück, um dieselben bedrohlichen Ziele zu erreichen.