Неизвестные злоумышленники нацелены на российские организации с недавно обнаруженным вредоносным ПО, которое позволяет им удаленно контролировать и красть информацию со взломанных устройств.
По данным Malwarebytes, одной из российских организаций, подвергшихся атаке с использованием этой вредоносной программы, является государственная оборонная корпорация.
«На основании поддельного домена, зарегистрированного злоумышленниками, мы знаем, что они пытались атаковать российскую аэрокосмическую и оборонную компанию, известную как ОАК», — заявили исследователи Malwarebytes Labs.
Этот троян удаленного доступа (RAT), получивший название Woody Rat, обладает широким спектром возможностей и использовался в атаках не менее года.
Это вредоносное ПО в настоящее время доставляется на компьютеры целей через фишинговые электронные письма двумя способами распространения: ZIP-архивами, содержащими вредоносную полезную нагрузку, или документами Microsoft Office «Памятка по информационной безопасности», которые используют уязвимость Follina для сброса полезных нагрузок.
«Самые ранние версии трояна обычно архивировались в zip-файле, притворяясь важным документом», — добавили исследователи.
«Когда об уязвимости Follina стало известно миру, злоумышленник переключился на нее для распространения полезной нагрузки, как определила MalwareHunterTeam».
Список его функций включает в себя сбор системной информации, список папок и запущенных процессов, выполнение команд и файлов, полученных с его сервера управления и контроля (C2), загрузку, загрузку и удаление файлов на зараженных машинах, а также создание снимков экрана.
Woody Rat также может выполнять код .NET, а также команды и сценарии PowerShell, полученные от своего сервера C2, с помощью двух библиотек DLL с именами WoodySharpExecutor и WoodyPowerSession.
Запустившись на скомпрометированном устройстве, вредоносное ПО использует очистку процессов для внедрения в приостановленный процесс Блокнота, удаляет себя с диска, чтобы избежать обнаружения продуктами безопасности, и возобновляет поток.
RAT шифрует свои каналы связи C2, используя комбинацию RSA-4096 и AES-CBC, чтобы избежать сетевого мониторинга.
