Trojan Akses Jarak Jauh Dijuluki Tikus Kayu Disampaikan sebagai Dokumen Kantor

  • Whatsapp
Trojan Akses Jarak Jauh Dijuluki Tikus Kayu Disampaikan sebagai Dokumen Kantor
Trojan Akses Jarak Jauh Dijuluki Tikus Kayu Disampaikan sebagai Dokumen
Dokumen Kantor Tikus Kayu

Tim Intelijen Ancaman Malwarebytes menemukan Trojan Akses Jarak Jauh baru yang disebut ‘Tikus Kayu’ yang menargetkan entitas Rusia dengan menggunakan umpan dalam format file arsip dan dokumen Office yang memanfaatkan kerentanan Follina.

Peneliti Malwarbytes menyatakan bahwa pelaku ancaman bertujuan untuk menargetkan entitas kedirgantaraan dan pertahanan Rusia yang disebut ‘OAK’.

Trojan Akses Jarak Jauh – Woody Rat

Menurut peneliti, Woody Rat telah didistribusikan menggunakan dua format berbeda yaitu, file arsip dan dokumen Office menggunakan kerentanan Follina.

Itu Kerentanan Follina memungkinkan penyerang untuk mengeksekusi kode arbitrer menggunakan dokumen Word berbahaya. Kerentanan ini memanfaatkan penangan MS URL bawaan untuk memicu msdt.exe, proses ini kemudian dapat digunakan untuk menjalankan perintah PowerShell.

Dalam hal ini, pelaku ancaman menggunakan dokumen Microsoft Office yang dipersenjatai dengan kerentanan Follina (CVE-2022-30190) untuk menjatuhkan Woody Rat.

https://i0.wp.com/blog.malwarebytes.com/wp-content/uploads/2022/08/figure1.png?w=696&ssl=1
Metode distribusi Tikus Kayu

Versi awal Tikus ini diarsipkan ke dalam file zip yang berpura-pura menjadi dokumen khusus untuk grup Rusia. Namun setelah datangnya kerentanan Follina, pelaku ancaman beralih ke kerentanan tersebut untuk mendistribusikan muatan.

Dalam metode File Arsip, Tikus Kayu dikemas ke dalam file arsip dan dikirim ke korban. Diyakini bahwa file arsip ini telah didistribusikan menggunakan email spear phishing. Misalnya: anketa_brozhik.doc.zip: Berisi Tikus Kayu dengan nama yang sama: Anketa_Brozhik.doc.exe.

Oleh karena itu metode distribusi mengumpulkan informasi sistem, membuat daftar folder dan proses yang berjalan, menjalankan perintah dan file yang diterima dari server command-and-control (C2), mengunduh, mengunggah, dan menghapus file pada mesin yang terinfeksi, dan mengambil tangkapan layar.

Para ahli mengatakan Tikus ini dapat mengeksekusi kode .NET dan perintah PowerShell dan skrip yang diterima dari server C2-nya menggunakan dua DLL bernama WoodySharpExecutor dan WoodyPowerSession.

“Secara historis, APT China seperti tim Tonto serta Korea Utara dengan Konni telah menargetkan Rusia. Namun, berdasarkan apa yang dapat kami kumpulkan, tidak ada indikator yang kuat untuk mengaitkan kampanye ini dengan aktor ancaman tertentu”, kata para peneliti.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk pembaruan keamanan siber setiap hari.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.