Неизвестные атаковали ОАК с помощью трояна Woody

Российские компании подвергаются атакам со стороны неизвестных киберпреступников, использующих новую вредоносную программу, позволяющую удаленно контролировать зараженные устройства и красть с них информацию. Об атаках в своем отчете сообщили специалисты из Malwarebytes .

По словам исследователей, одной из атакованных организаций стала ОАК (Объединённая авиастроительная корпорация). Такой вывод был сделан на основе анализа фейкового домена, зарегистрированного злоумышленниками.

В атаках используется троян удаленного доступа ( RAT ), получивший название Woody. Известно, что вредонос не менее года находится на вооружении у хакеров и имеет широкий функционал.

На компьютеры жертв Woody через фишинговые письма, которые содержат одно из двух вложений:

1. ZIP-архив с полезной нагрузкой вредоноса внутри (;

2. Вредоносный документ Microsoft Office, использующий уязвимость Follina для развертки полезной нагрузки.

Специалисты отметили, что с помощью ZIP-архивов распространяются старые версии RAT, а более новые используют Follina.

Схема, иллюстрирующая цепочку заражения Woody RAT.

В список возможностей Woody входят:

• Сбор системной информации;

• Просмотр папок и запущенных процессов;

• Выполнение .NET-кода и PowerShell-скриптов, полученных с C&C-сервера злоумышленника. Для этого вредонос использует две DLL-библиотеки под названиями WoodySharpExecutor и WoodyPowerSession;

• Загрузка, выгрузка и удаление файлов на зараженных устройствах;

• Создание скриншотов.

Чтобы уйти от систем безопасности, троян внедряется в процесс Notepad и удаляет себя с диска. От систем сетевого мониторинга Woody ускользает с помощью шифрования каналов связи с C&C-сервером, используя для этого комбинацию RSA-4096 и AES-CBC.

Исследователям пока не удалось связать атаки и Woody с конкретной киберпреступной группировкой. Однако, специалисты подозревают в произошедшем китайские и северокорейские APT (Tonto и Konni), которые чаще всего атаковали Россию.