Des organisations russes attaquées avec le nouveau malware Woody RAT

Russie RAT

Des attaquants inconnus ciblent des entités russes avec des logiciels malveillants récemment découverts qui leur permettent de contrôler et de voler à length des informations sur des appareils compromis.

Selon Malwarebytes, l’une des organisations russes qui ont été attaquées à l’aide de ce logiciel malveillant est une société de défense contrôlée par le gouvernement.

“Sur la foundation d’un faux domaine enregistré par les acteurs de la menace, nous savons qu’ils ont tenté de cibler une entité russe de l’aérospatiale et de la défense connue sous le nom de CHÊNE“, ont déclaré les chercheurs de Malwarebytes Labs.

Surnommé Woody Rat, ce cheval de Troie d’accès à distance (RAT) possède un massive éventail de capacités et est utilisé dans des attaques depuis au moins un an.

Ce logiciel malveillant est actuellement distribué sur les ordinateurs des cibles through des e-mails de phishing through deux méthodes de distribution : les fichiers d’archive ZIP contenant la cost utile malveillante ou les files Microsoft Office “Mémo sur la sécurité de l’information” qui exploitent la vulnérabilité Follina pour supprimer les fees utiles.

“Les premières versions de ce Rat étaient généralement archivées dans un fichier zip prétendant être un document spécifique à un groupe russe”, ont ajouté les chercheurs.

“Lorsque la vulnérabilité Follina a été connue du monde entier, l’acteur de la menace s’est tourné vers elle pour distribuer la demand utile, comme identifié par MalwareHunterTeam.”

Vecteurs de distribution Woody Rat
Vecteurs de distribution de Woody Rat (Malwarebytes LABS)

Sa liste de fonctionnalités comprend la collecte d’informations système, la liste des dossiers et des processus en cours d’exécution, l’exécution de commandes et de fichiers reçus de son serveur de commande et de contrôle (C2), le téléchargement, le téléchargement et la suppression de fichiers sur des devices infectées et la prise de captures d’écran.

Woody Rat peut également exécuter du code .Net et des commandes et scripts PowerShell reçus de son serveur C2 à l’aide de deux DLL nommées WoodySharpExecutor et WoodyPowerSession.

Une fois lancé sur un appareil compromis, le logiciel malveillant utilise processus d’évidement pour s’injecter dans un processus Bloc-notes suspendu, se supprime du disque pour échapper à la détection des produits de sécurité et reprend le thread.

Le RAT crypte ses canaux de conversation C2 en utilisant une combinaison de RSA-4096 et AES-CBC pour échapper à la surveillance basée sur le réseau.

Malwarebytes n’a pas encore attribué le logiciel malveillant et les attaques à un groupe de menaces connu, mais a déclaré qu’une très courte liste de suspects possibles comprend des APT chinois et nord-coréens.

“Ce rat très capable tombe dans la catégorie des acteurs de menace inconnus que nous suivons. Historiquement, les APT chinois tels que l’équipe Tonto ainsi que la Corée du Nord avec Konni ont ciblé la Russie”, ont conclu les chercheurs.

“Cependant, sur la base de ce que nous avons pu collecter, il n’y avait aucun indicateur solide pour attribuer cette campagne à un acteur de menace spécifique.”

Cela concorde avec les récentes découvertes de plusieurs autres fournisseurs qui ont également repéré des groupes de piratage chinois ciblant des responsables russes, des agences et entités gouvernementales et des entreprises aérospatiales.