Недавно обнаруженный троян используется в атаках уже больше года.
Российские компании подвергаются атакам со стороны неизвестных киберпреступников, использующих новую вредоносную программу, позволяющую удаленно контролировать зараженные устройства и красть с них информацию. Об атаках в своем отчете сообщили специалисты из Malwarebytes .
По словам исследователей, одной из атакованных организаций стала ОАК (Объединённая авиастроительная корпорация). Такой вывод был сделан на основе анализа фейкового домена, зарегистрированного злоумышленниками.
В атаках используется троян удаленного доступа ( RAT ), получивший название Woody. Известно, что вредонос не менее года находится на вооружении у хакеров и имеет широкий функционал.
На компьютеры жертв Woody через фишинговые письма, которые содержат одно из двух вложений:
ZIP-архив с полезной нагрузкой вредоноса внутри (;
Вредоносный документ Microsoft Office, использующий уязвимость Follina для развертки полезной нагрузки.
Специалисты отметили, что с помощью ZIP-архивов распространяются старые версии RAT, а более новые используют Follina.
Схема, иллюстрирующая цепочку заражения Woody RAT.
В список возможностей Woody входят:
Сбор системной информации;
Просмотр папок и запущенных процессов;
Выполнение .NET-кода и PowerShell-скриптов, полученных с C&C-сервера злоумышленника. Для этого вредонос использует две DLL-библиотеки под названиями WoodySharpExecutor и WoodyPowerSession;
Загрузка, выгрузка и удаление файлов на зараженных устройствах;
Создание скриншотов.
Чтобы уйти от систем безопасности, троян внедряется в процесс Notepad и удаляет себя с диска. От систем сетевого мониторинга Woody ускользает с помощью шифрования каналов связи с C&C-сервером, используя для этого комбинацию RSA-4096 и AES-CBC.
Исследователям пока не удалось связать атаки и Woody с конкретной киберпреступной группировкой. Однако, специалисты подозревают в произошедшем китайские и северокорейские APT (Tonto и Konni), которые чаще всего атаковали Россию.
Сбалансированная диета для серого вещества