Как сообщили специалисты из компании Malwarebytes, бэкдор распространяется через фальшивый документ под названием Manifest.docx, который инициирует эксплуатацию уязвимости и выполняет shell-код для развертывания RAT.
Помимо сбора системных метаданных, RAT разработан для обнаружения антивирусных продуктов на зараженной системе и выполнения команд C&C-сервера, включая чтение, удаление и загрузку произвольных файлов, а также передачу результатов выполнения команд обратно на сервер.
Эксперты также обнаружили написанную на языке PHP панель под названием Ekipa, которая используется злоумышленником для отслеживания жертв и просмотра информации о способах работы, которые привели к успешному взлому.
Примечательно, что данную уязвимость (CVE-2021-26411) уже эксплуатировала поддерживаемая Северной Кореей группировка Lazarus Group для атак на ИБ-специалистов. Lazarus Group в ходе атак на исследователей в области кибербезопасности использовала MHTML-файлы. Эксперты проанализировали полезные нагрузки, загруженные MHT-файлом, и обнаружили в нем эксплоит для уязвимости нулевого дня в Internet Explorer. Microsoft исправила данную проблему с выпуском мартовских обновлений безопасности.