AmmyyRAT - троянская программа удаленного доступа (RAT), которая распространяется через фишинг в разных странах. Зараженные документы представляют собой одно и то же красочное изображение, которое заманивает жертву включить макросы для просмотра документа Microsoft Office. В этой последней кампании злоумышленник использовал документы .pub (Microsoft Publisher), а также более стандартные файлы .doc.
AmmyyRAT
Зараженные документы представляют собой одно и то же красочное изображение, которое заманивает жертву включить макросы для просмотра документа Microsoft Office. В этой последней кампании злоумышленник использовал документы .pub (Microsoft Publisher), а также более стандартные файлы .doc.
Когда макрос выполнится, он установит запланированную задачу, которая немедленно выполнит следующий этап атаки. Это популярный способ для авторов вредоносных программ прервать цепочку атак, отслеживаемую антивирусными решениями - вместо того, чтобы процесс Word выполнял следующий этап, он выполняется планировщиком задач. Запланированные задачи выполняют команду PowerShell, которая расшифровывается так же, как загрузка MSI-установщика с удаленного домена.
Indicators of Compromise
IPv4
- 185.99.133.83
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые AmmyyRAT.
ID | Техника | CWE | Описание | Доверие |
1 | T1006 | CWE-22 | Обход имени пути | Высокий |
2 | T1574 | CWE-426 | Ненадежный путь поиска | Высокий |