Хакеры атакуют российские организации с помощью новой вредоносной программы Woody RAT

Дата: 04.08.2022. Автор: Артем П. Категории: Новости по информационной безопасности
Хакеры атакуют российские организации с помощью новой вредоносной программы Woody RAT
Изображение: Sam Oxyak (Unsplash)

Неизвестные киберпреступники нацелены на российские организации. Они проводят кибератаки с использованием недавно обнаруженного вредоносного ПО Woody RAT, которое позволяет им дистанционно контролировать и красть информацию со взломанных устройств, сообщает издание Bleeping Computer.

По данным компании Malwarebytes, одной из российских организаций, подвергшихся атаке с использованием этой вредоносной программы Woody RAT, является государственная оборонная корпорация России.

«На основании поддельного домена, зарегистрированного злоумышленниками, мы выяснили, что они пытались провести кибератаку на российскую аэрокосмическую и оборонную компанию, известную как «Объединённая авиастроительная корпорация», — заявили исследователи Malwarebytes Labs.

Woody RAT представляет собой троян удаленного доступа, обладающий широким спектром возможностей. По информации экспертов Malwarebytes, вредоносное ПО такого типа используется менее года, поэтому плохо изучено специалистами по кибербезопасности.

Это вредоносное ПО силами киберпреступников доставляется на компьютеры пользователей из различных организаций через фишинговые электронные письма двумя способами распространения: ZIP-архивами, содержащими вредоносную полезную нагрузку, или документами Microsoft Office с различными названиями, вынуждающими пользователей их открыть, которые используют уязвимость Follina для сброса полезных нагрузок.

Список функций Woody RAT включает в себя: сбор системной информации, списка папок и запущенных процессов, выполнение команд и файлов, полученных с его сервера управления и контроля (C2), загрузку полезной нагрузки, скачивание и удаление файлов на зараженных устройствах, а также создание снимков экрана.

Запустившись на скомпрометированном устройстве, вредоносное ПО Woody RAT использует очистку процессов для внедрения в приостановленный процесс стандартного «Блокнота», после чего удаляет себя с диска, чтобы избежать обнаружения средствами защиты информации и безопасности, а затем возобновляет остановленные процессы.

Woody RAT также шифрует свои каналы связи C2, используя комбинацию RSA-4096 и AES-CBC, чтобы избежать сетевого мониторинга.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *