Ein unbekannter Bedrohungsakteur zielt seit mindestens einem Jahr im Rahmen einer Spearphishing-Kampagne mit einem neu entdeckten Remote-Access-Trojaner namens Woody RAT auf russische Unternehmen.
Die fortschrittliche, benutzerdefinierte Backdoor wird angeblich über zwei Methoden verbreitet: Archivdateien und Microsoft Office-Dokumente, die die inzwischen gepatchte „Follina“-Support-Diagnoseschwachstelle (CVE-2022-30190) in Windows nutzen.
Wie andere Implantate, die für spionageorientierte Operationen entwickelt wurden, verfügt Woody RAT über eine breite Palette von Funktionen, die es den Bedrohungsakteuren ermöglichen, sensible Informationen von den infizierten Systemen aus der Ferne zu übernehmen und zu stehlen.
„Die frühesten Versionen dieses RAT wurden in der Regel in einer ZIP-Datei archiviert, die vorgab, ein Dokument einer russischen Gruppe zu sein“, so die Malwarebytes-Forscher Ankur Saini und Hossein Jazi in einem Bericht vom Mittwoch.
„Als die Follina-Schwachstelle bekannt wurde, nutzten die Bedrohungsakteure diese, um die Nutzlast zu verbreiten.
In einem Fall versuchte die Hackergruppe, ein russisches Luft- und Raumfahrt- und Verteidigungsunternehmen namens OAK anzugreifen, und stützte sich dabei auf Hinweise, die sie von einer zu diesem Zweck registrierten gefälschten Domain erhielt.
Angriffe, die die Windows-Schwachstelle im Rahmen dieser Kampagne ausnutzen, wurden erstmals am 7. Juni 2022 bekannt, als Forscher des MalwareHunterTeams die Verwendung eines Dokuments mit dem Namen „Памятка.docx“ (übersetzt: „Memo.docx“) aufdeckten, um eine CSS-Nutzlast mit dem Trojaner zu verbreiten.
Das Dokument bietet angeblich bewährte Sicherheitspraktiken für Passwörter und vertrauliche Informationen und dient gleichzeitig als Köder für die Hintertür.
Woody RAT verschlüsselt nicht nur die Kommunikation mit einem entfernten Server, sondern ist auch in der Lage, beliebige Dateien auf den Computer zu schreiben, zusätzliche Malware auszuführen, Dateien zu löschen, Verzeichnisse zu durchforsten, Screenshots zu erstellen und eine Liste der laufenden Prozesse zu erstellen.
Außerdem sind zwei .NET-basierte Bibliotheken namens WoodySharpExecutor und WoodyPowerSession in die Malware eingebettet, mit denen vom Server empfangener .NET-Code bzw. PowerShell-Befehle ausgeführt werden können.
Außerdem nutzt die Malware die Technik des Process Hollowing, um sich in einen angehaltenen Notepad-Prozess einzuschleusen, und löscht sich selbst von der Festplatte, um die Erkennung durch die auf dem kompromittierten Host installierte Sicherheitssoftware zu umgehen.
Malwarebytes konnte die Angriffe noch keinem bestimmten Akteur zuordnen, da es keine handfesten Hinweise auf eine bekannte Gruppe gibt, obwohl chinesische und nordkoreanische Kollektive in der Vergangenheit Russland ins Visier genommen haben.