Неизвестные атаковали ОАК с помощью трояна Woody

Чт 4 Август 2022 09:45

Российские компании подвергаются атакам со стороны неизвестных киберпреступников, использующих новую вредоносную программу, позволяющую удаленно контролировать зараженные устройства и красть с них информацию. Об атаках в своем отчете сообщили специалисты из Malwarebytes .

По словам исследователей, одной из атакованных организаций стала ОАК (Объединённая авиастроительная корпорация). Такой вывод был сделан на основе анализа фейкового домена, зарегистрированного злоумышленниками.

В атаках используется троян удаленного доступа ( RAT ), получивший название Woody. Известно, что вредонос не менее года находится на вооружении у хакеров и имеет широкий функционал.

На компьютеры жертв Woody через фишинговые письма, которые содержат одно из двух вложений:

ZIP-архив с полезной нагрузкой вредоноса внутри (;

Вредоносный документ Microsoft Office, использующий уязвимость Follina для развертки полезной нагрузки.

Специалисты отметили, что с помощью ZIP-архивов распространяются старые версии RAT, а более новые используют Follina.

Схема, иллюстрирующая цепочку заражения Woody RAT.

В список возможностей Woody входят:

Сбор системной информации;

Просмотр папок и запущенных процессов;

Выполнение .NET-кода и PowerShell-скриптов, полученных с C&C-сервера злоумышленника. Для этого вредонос использует две DLL-библиотеки под названиями WoodySharpExecutor и WoodyPowerSession;

Загрузка, выгрузка и удаление файлов на зараженных устройствах;

Создание скриншотов.

Чтобы уйти от систем безопасности, троян внедряется в процесс Notepad и удаляет себя с диска. От систем сетевого мониторинга Woody ускользает с помощью шифрования каналов связи с C&C-сервером, используя для этого комбинацию RSA-4096 и AES-CBC.

Исследователям пока не удалось связать атаки и Woody с конкретной киберпреступной группировкой. Однако, специалисты подозревают в произошедшем китайские и северокорейские APT (Tonto и Konni), которые чаще всего атаковали Россию.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 260 дней 6 минут 22 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.