Άγνωστοι εισβολείς στοχεύουν ρωσικές οντότητες με κακόβουλο λογισμικό Woody RAT που ανακαλύφθηκε πρόσφατα και τους επιτρέπει να ελέγχουν και να κλέβουν πληροφορίες από παραβιασμένες συσκευές εξ αποστάσεως.
Δείτε επίσης: Αυστραλός κατηγορείται για την ανάπτυξη του Imminent Monitor RAT
Σύμφωνα με το Malwarebytes, ένας από τους ρωσικούς οργανισμούς που δέχθηκαν επίθεση χρησιμοποιώντας αυτό το κακόβουλο λογισμικό είναι μια αμυντική εταιρεία που ελέγχεται από την κυβέρνηση.
«Με βάση έναν πλαστό τομέα που έχει καταχωρηθεί από τους φορείς απειλών, γνωρίζουμε ότι προσπάθησαν να στοχεύσουν μια ρωσική αεροδιαστημική και αμυντική οντότητα γνωστή ως OAK», δήλωσαν οι ερευνητές των Malwarebytes Labs.
Το Woody Rat, ένα trojan απομακρυσμένης πρόσβασης (RAT), έχει ένα ευρύ φάσμα δυνατοτήτων και έχει χρησιμοποιηθεί σε επιθέσεις για τουλάχιστον ένα χρόνο.
Αυτό το κακόβουλο λογισμικό παραδίδεται επί του παρόντος στους υπολογιστές των στόχων μέσω μηνυμάτων ηλεκτρονικού “ψαρέματος” μέσω δύο μεθόδων διανομής: αρχεία ZIP που περιέχουν το κακόβουλο ωφέλιμο φορτίο ή έγγραφα του Microsoft Office που εκμεταλλεύονται την ευπάθεια του Follina για να παραδώσουν τα ωφέλιμα φορτία.
«Οι παλαιότερες εκδόσεις αυτού του RAT συνήθως αρχειοθετούνταν σε ένα αρχείο zip που προσποιείται ότι ήταν ένα έγγραφο συγκεκριμένο για μια ρωσική ομάδα», πρόσθεσαν οι ερευνητές.
Δείτε ακόμα: Hackers στοχεύουν την Ε.Ε. με το Konni RAT
«Όταν η ευπάθεια Follina έγινε γνωστή στον κόσμο, ο παράγοντας απειλής άλλαξε σε αυτήν για να διανείμει το ωφέλιμο φορτίο, όπως προσδιορίστηκε από το MalwareHunterTeam.»
Η λίστα των δυνατοτήτων του περιλαμβάνει τη συλλογή πληροφοριών συστήματος, την καταχώριση φακέλων και την εκτέλεση διεργασιών, την εκτέλεση εντολών και αρχείων που λαμβάνονται από τον διακομιστή εντολών και ελέγχου (C2), τη λήψη, τη μεταφόρτωση και τη διαγραφή αρχείων σε μολυσμένα μηχανήματα και τη λήψη στιγμιότυπων οθόνης.
Το Woody Rat μπορεί επίσης να εκτελέσει κώδικα .NET και εντολές και σενάρια PowerShell που λαμβάνονται από τον διακομιστή C2 χρησιμοποιώντας δύο DLL που ονομάζονται WoodySharpExecutor και WoodyPowerSession.
Μόλις εκκινηθεί σε μια παραβιασμένη συσκευή, το κακόβουλο λογισμικό χρησιμοποιεί διόρθωση διεργασίας για να εγχυθεί σε μια διαδικασία του Σημειωματάριου σε αναστολή, διαγράφεται από το δίσκο για να αποφύγει τον εντοπισμό από προϊόντα ασφαλείας και συνεχίζει.
Το RAT κρυπτογραφεί τα κανάλια επικοινωνίας C2 χρησιμοποιώντας έναν συνδυασμό RSA-4096 και AES-CBC για να αποφύγει την παρακολούθηση βάσει δικτύου.
Δείτε επίσης: Πώς το κακόβουλο λογισμικό ξεγελάει χρήστες και προγράμματα antivirus
Η Malwarebytes δεν έχει ακόμη αποδώσει το κακόβουλο λογισμικό και τις επιθέσεις σε μια γνωστή ομάδα απειλών, αλλά είπε ότι μια πολύ σύντομη λίστα πιθανών υπόπτων περιλαμβάνει κινεζικά και βορειοκορεατικά APT.
Αυτό ευθυγραμμίζεται με τα πρόσφατα ευρήματα πολλών άλλων προμηθευτών, που εντόπισαν επίσης κινεζικές ομάδες hacker που στοχεύουν Ρώσους αξιωματούχους, κυβερνητικές υπηρεσίες και οντότητες και εταιρείες αεροδιαστημικής.
