Неизвестные злоумышленники нацелены на российские организации с недавно обнаруженным вредоносным ПО, которое позволяет им удаленно контролировать и красть информацию со взломанных устройств.

По данным Malwarebytes, одной из российских организаций, подвергшихся атаке с использованием этой вредоносной программы, является государственная оборонная корпорация.

«На основании поддельного домена, зарегистрированного злоумышленниками, мы знаем, что они пытались атаковать российскую аэрокосмическую и оборонную компанию, известную как ОАК», — заявили исследователи Malwarebytes Labs.

Этот троян удаленного доступа (RAT), получивший название Woody Rat, обладает широким спектром возможностей и использовался в атаках не менее года.

Это вредоносное ПО в настоящее время доставляется на компьютеры целей через фишинговые электронные письма двумя способами распространения: ZIP-архивами, содержащими вредоносную полезную нагрузку, или документами Microsoft Office «Памятка по информационной безопасности», которые используют уязвимость Follina для сброса полезных нагрузок.

«Самые ранние версии трояна обычно архивировались в zip-файле, притворяясь важным документом», — добавили исследователи.

«Когда об уязвимости Follina стало известно миру, злоумышленник переключился на нее для распространения полезной нагрузки, как определила MalwareHunterTeam».

Список его функций включает в себя сбор системной информации, список папок и запущенных процессов, выполнение команд и файлов, полученных с его сервера управления и контроля (C2), загрузку, загрузку и удаление файлов на зараженных машинах, а также создание снимков экрана.

Woody Rat также может выполнять код .NET, а также команды и сценарии PowerShell, полученные от своего сервера C2, с помощью двух библиотек DLL с именами WoodySharpExecutor и WoodyPowerSession.

Запустившись на скомпрометированном устройстве, вредоносное ПО использует очистку процессов для внедрения в приостановленный процесс Блокнота, удаляет себя с диска, чтобы избежать обнаружения продуктами безопасности, и возобновляет поток.

RAT шифрует свои каналы связи C2, используя комбинацию RSA-4096 и AES-CBC, чтобы избежать сетевого мониторинга.

Источник: secure news