Неизвестные атаковали ОАК с помощью трояна Woody

Неизвестные атаковали ОАК с помощью трояна Woody

Недавно обнаруженный троян используется в атаках уже больше года.

image

Российские компании подвергаются атакам со стороны неизвестных киберпреступников, использующих новую вредоносную программу, позволяющую удаленно контролировать зараженные устройства и красть с них информацию. Об атаках в своем отчете сообщили специалисты из Malwarebytes .

По словам исследователей, одной из атакованных организаций стала ОАК (Объединённая авиастроительная корпорация). Такой вывод был сделан на основе анализа фейкового домена, зарегистрированного злоумышленниками.

В атаках используется троян удаленного доступа ( RAT ), получивший название Woody. Известно, что вредонос не менее года находится на вооружении у хакеров и имеет широкий функционал.

На компьютеры жертв Woody через фишинговые письма, которые содержат одно из двух вложений:

  1. ZIP-архив с полезной нагрузкой вредоноса внутри (;

  2. Вредоносный документ Microsoft Office, использующий уязвимость Follina для развертки полезной нагрузки.

Специалисты отметили, что с помощью ZIP-архивов распространяются старые версии RAT, а более новые используют Follina.

Схема, иллюстрирующая цепочку заражения Woody RAT.

В список возможностей Woody входят:

  • Сбор системной информации;

  • Просмотр папок и запущенных процессов;

  • Выполнение .NET-кода и PowerShell-скриптов, полученных с C&C-сервера злоумышленника. Для этого вредонос использует две DLL-библиотеки под названиями WoodySharpExecutor и WoodyPowerSession;

  • Загрузка, выгрузка и удаление файлов на зараженных устройствах;

  • Создание скриншотов.

Чтобы уйти от систем безопасности, троян внедряется в процесс Notepad и удаляет себя с диска. От систем сетевого мониторинга Woody ускользает с помощью шифрования каналов связи с C&C-сервером, используя для этого комбинацию RSA-4096 и AES-CBC.

Исследователям пока не удалось связать атаки и Woody с конкретной киберпреступной группировкой. Однако, специалисты подозревают в произошедшем китайские и северокорейские APT (Tonto и Konni), которые чаще всего атаковали Россию.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!