Malware Woody RAT Baru Digunakan untuk Menargetkan Organisasi Rusia

  • Whatsapp
Woody RAT Malware
Malware Woody RAT Baru Digunakan untuk Menargetkan Organisasi Rusia

News.nextcloud.asia –

Malware Woody RAT

Aktor ancaman yang tidak dikenal telah menargetkan entitas Rusia dengan trojan akses jarak jauh yang baru ditemukan bernama Woody RAT setidaknya selama satu tahun sebagai bagian dari kampanye spear-phishing.

Backdoor kustom canggih dikatakan dikirimkan melalui salah satu dari dua metode: file arsip dan dokumen Microsoft Office yang memanfaatkan kerentanan alat diagnostik dukungan “Follina” yang sekarang ditambal (CVE-2022-30190) di Windows.

Seperti implan lain yang dirancang untuk operasi yang berorientasi spionase, Woody RAT memiliki berbagai fitur yang memungkinkan pelaku ancaman untuk mengambil alih dan mencuri informasi sensitif dari sistem yang terinfeksi dari jarak jauh.

“Versi paling awal dari RAT ini biasanya diarsipkan ke dalam file ZIP yang berpura-pura menjadi dokumen khusus untuk grup Rusia,” peneliti Malwarebytes Ankur Saini dan Hossein Jazi dikatakan dalam laporan Rabu.

Keamanan cyber

“Ketika kerentanan Follina diketahui dunia, pelaku ancaman beralih ke sana untuk mendistribusikan muatan.”

Dalam satu contoh, kelompok peretas berusaha menyerang entitas kedirgantaraan dan pertahanan Rusia yang dikenal sebagai EK berdasarkan bukti yang diperoleh dari domain palsu yang terdaftar untuk tujuan ini.

Malware Woody RAT

Serangan yang memanfaatkan kelemahan Windows sebagai bagian dari kampanye ini pertama kali terungkap pada 7 Juni 2022, ketika para peneliti dari MalwareHunterTeam diungkapkan penggunaan dokumen bernama “Памятка.docx” (yang diterjemahkan menjadi “Memo.docx”) untuk mengirimkan muatan CSS yang berisi trojan.

Dokumen tersebut konon menawarkan praktik keamanan terbaik untuk kata sandi dan informasi rahasia, antara lain, sambil bertindak sebagai umpan untuk menjatuhkan pintu belakang.

Selain mengenkripsi komunikasinya dengan server jarak jauh, Woody RAT dilengkapi dengan kemampuan untuk menulis file arbitrer ke mesin, mengeksekusi malware tambahan, menghapus file, menghitung direktori, menangkap tangkapan layar, dan mengumpulkan daftar proses yang sedang berjalan.

Keamanan cyber

Juga tertanam di dalam malware adalah dua perpustakaan berbasis .NET bernama WoodySharpExecutor dan WoodyPowerSession yang dapat digunakan untuk menjalankan kode .NET dan perintah PowerShell yang diterima masing-masing dari server.

Selain itu, malware memanfaatkan proses teknik pelubangan untuk menyuntikkan dirinya ke dalam proses Notepad yang ditangguhkan dan menghapus dirinya sendiri dari disk untuk menghindari deteksi dari perangkat lunak keamanan yang diinstal pada host yang disusupi.

Malwarebytes belum mengaitkan serangan tersebut dengan aktor ancaman tertentu, dengan alasan kurangnya indikator kuat yang menghubungkan kampanye tersebut dengan kelompok yang diketahui sebelumnya, meskipun kolektif negara-bangsa China dan Korea Utara telah menargetkan Rusia di masa lalu.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.