I ricercatori di Malwarebytes hanno osservato un attore sconosciuto che ha preso di mira le organizzazioni russe con un nuovo trojan di accesso remoto chiamato Woody RAT. Gli aggressori hanno distribuito il malware utilizzando file di archivio e documenti di Microsoft Office sfruttando la falla Follina di Windows (CVE-2022-30190).
Uno Zero day in Microsoft Office mette in pericolo gli utenti con un file Word
L’ipotesi che gli aggressori si concentrino su entità russe si basa su un dominio falso che hanno registrato, Malwarebytes è a conoscenza del fatto che hanno cercato di colpire un’entità aerospaziale e di difesa russa nota come OAK.
“Le prime versioni di questo RAT erano tipicamente archiviate in un file zip che fingeva di essere un documento specifico di un gruppo russo. Quando la vulnerabilità Follina è diventata nota al mondo, l’attore delle minacce è passato ad essa per distribuire il payload, come identificato da @MalwareHunterTeam“, si legge nel rapporto pubblicato da Malwarebytes.
Woody RAT
Negli attacchi che sfruttano i file di archivio (anketa_brozhik.doc.zip, che contiene l’eseguibile Woody Rat, e Anketa_Brozhik.doc.exe, zayavka.zip contenente Woody Rat mascherato da applicazione partecipazione alla selezione.doc.exe), gli archivi vengono inviati alle vittime tramite e-mail di spear-phishing.
Gli attacchi che sfruttano la falla di Windows Follina sono stati individuati il 7 giugno 2022, quando i ricercatori hanno osservato gli attori delle minacce utilizzare un documento Microsoft Office armato intitolato Памятка.docx. Il documento di richiamo, chiamato “Promemoria sulla sicurezza delle informazioni“, fornisce pratiche di sicurezza per le password, le informazioni riservate e così via.
Per eludere il monitoraggio basato sulla rete, il malware Woody RAT utilizza una combinazione di RSA-4096 e AES-CBC per crittografare i dati inviati al server di comando e controllo.
Il RAT è dotato di molteplici funzionalità backdoor, come la scrittura di file arbitrari sul computer, l’esecuzione di malware aggiuntivo, l’acquisizione di screenshot, l’enumerazione di directory, l’eliminazione di file e la raccolta di un elenco di processi in esecuzione.
L’analisi del codice maligno ha rivelato che il malware ha 2 DLL .NET incorporate al suo interno, denominate rispettivamente WoodySharpExecutor e WoodyPowerSession. WoodySharpExecutor consente al malware di eseguire codice .NET ricevuto dal C2, mentre WoodyPowerSession consente al malware di eseguire comandi e script PowerShell ricevuti dal C2.
Una volta creati i thread di comando, il malware si cancella dal disco utilizzando la tecnica del ProcessHollowing.
“Questo RAT molto abile rientra nella categoria degli attori sconosciuti delle minacce che tracciamo. Storicamente, le APT cinesi come il team Tonto e la Corea del Nord con Konni hanno preso di mira la Russia. Tuttavia, in base a quanto siamo riusciti a raccogliere, non c’erano indicatori solidi per attribuire questa campagna a un attore specifico“, conclude il rapporto.
