Scoperto da Malwarebytes Threat Intelligence, questo RAT (Remote Access Trojan) si diffonde attraverso un documento chiamato Манифест.docx oppure Manifest.docx che una volta aperto scarica e lancia due template. Il primo dei due permette l’esecuzione di macro, mentre il secondo è un oggetto HTML che contiene un noto exploit di Internet Explorer.
Sempre secondo quanto scoperto da Malwarebytes, il movimento di questo malware avviene come in una specie di gioco delle scatole cinesi, dove ciascuno dei due template svolge compiti precisi.
Come si comporta questa nuova minaccia
Osservando più da vicino il modello remoto incorporato settings.xml.relsabbiamo notato che contiene un VBA Rat completo che esegue le seguenti azioni:
- Raccoglie le informazioni della vittima
- Identifica il prodotto AV in esecuzione sul computer della vittima
- Esegue i codici shell
- Elimina i file
- Carica e scarica file
- Legge le informazioni sui dischi e sui file system
Il secondo modello è incorporato Document.xml.relse caricato nel documento. Guardando il codice caricato abbiamo notato che contiene un exploit di IE (CVE-2021-26411) che un tempo era utilizzato da Lazarus APT per colpire i ricercatori di sicurezza che lavoravano alla divulgazione delle vulnerabilità, come riportato dai team di ricerca sulle minacce di Google e Microsoft . Il codice shell eseguito utilizzando questo exploit distribuisce lo stesso VBA Rat che è stato caricato utilizzando l’iniezione di modello remoto.
Dopo aver caricato i modelli remoti, il documento dannoso carica un documento esca in russo che è piuttosto interessante. Il documento esca è una dichiarazione di un gruppo all’interno della Crimea che esprime opposizione alla Russia e in particolare alle politiche di Putin contro quella penisola. Di seguito, la dichiarazione sia in russo che in inglese.
Il primo dei due template ne scarica uno ulteriore che include il Trojan remoto vero e proprio, scritto in VBA. Questo, una volta lanciato, riesce a scaricare, caricare e addirittura eseguire file. Una volta in esecuzione svolge una serie di operazioni: esegue comandi shell, cancella alcuni file, ne carica e scarica altri, legge il contenuto dei dischi e le informazioni del file system, oltre a raccogliere informazioni sulle vittime e identificare l’antivirus utilizzato.
Il secondo dei due template svolge la stessa operazione, installare il VBA RAT vero e proprio, ma prova a farlo seguendo una strada diversa, cioè sfruttare la vulnerabilità di Internet Explorer nota come CVE-2021-26411, che permette l’esecuzione di codice maligno attraverso una vulnerabilità che permette la corruzione della memoria.
L’uso delle vulnerabilità nei template, nota come remote template injection è una tecnica già nota e utilizzata spesso dai criminali informatici. Quello che è inedito è l’uso di questa tecnica per installare due diversi template, il secondo dei quali inoltre sfrutta una vulnerabilità relativamente nuova e per questo ancora poco utilizzata. Inoltre, di solito i malware di questo tipo vengono iniettati sotto forma di eseguibili, mentre in questo caso è stato utilizzato il linguaggio VBA, non offuscato, e lanciato direttamente dal template scaricato.
Il messaggio politico all’interno: secondo quanto si può leggere, il manifesto appunto, sarebbe stato diffuso da un gruppo non identificato con base in Crimea che contesta la Russia e in particolare le politiche dell’attuale presidente Vladimir Putin sulla gestione della penisola.
Al momento tuttavia non è chiaro né se il messaggio sia reale o sia un semplice depistaggio, né se dietro a questo malware sia collegato a qualche gruppo in particolare.
