Bilinmeyen saldırganlar Rus varlıklarını, tehlikeye atılan cihazlardan uzaktan kontrol etmelerine ve çalmalarına izin veren yeni keşfedilen kötü amaçlı yazılımlarla hedefliyor.
Malwarebytes'e göre, bu kötü amaçlı yazılım kullanılarak saldırıya uğrayan Rus organizasyonlarından biri devlet tarafından kontrol edilen bir savunma şirketi.
Malwarebytes Labs araştırmacıları, "Tehdit aktörleri tarafından kaydedilen sahte bir alana dayanarak, meşe olarak bilinen bir Rus havacılık ve savunma varlığını hedeflemeye çalıştıklarını biliyoruz." Dedi.
Woody Rat olarak adlandırılan bu uzaktan erişim Trojan (sıçan) çok çeşitli yeteneklere sahiptir ve en az bir yıldır saldırılarda kullanılmıştır.
Bu kötü amaçlı yazılım şu anda iki dağıtım yöntemi aracılığıyla kimlik avı e -postaları aracılığıyla hedeflerin bilgisayarlarına teslim edilmektedir: kötü amaçlı yükü veya "bilgi güvenliği notu" Microsoft ofis belgelerini içeren zip arşiv dosyaları, yükleri bırakmak için Follina güvenlik açığını kullanan.
Araştırmacılar, "Bu sıçanın en eski versiyonları tipik olarak bir Rus grubuna özgü bir belge gibi davranan bir fermuarlı dosyaya arşivlendi."
Diyerek şöyle devam etti: "Follina güvenlik açığı dünya tarafından tanındığında, tehdit oyuncusu MalwarehunterTeam tarafından tanımlandığı gibi yükü dağıtmak için ona geçti."
Özellikler listesi, sistem bilgilerinin toplanmasını, klasörleri listelemeyi ve işlemleri çalıştırmayı, komut ve kontrol (C2) sunucusundan alınan komutları ve dosyaların yürütülmesini, enfekte makinelerde dosyaları indirme, yükleme ve silme ve ekran görüntüleri bulunur.
Woody Rat ayrıca .NET Kodu ve PowerShell komutlarını ve C2 sunucusundan alınan komut dosyalarını WoodySharpexecutor ve Woodypowersession adlı iki DLL kullanarak yürütebilir.
Meydan okulu bir cihazda başlatıldıktan sonra, kötü amaçlı yazılım, askıya alınmış bir not defteri işlemine enjekte etmek için proses oyuğunu kullanır, güvenlik ürünlerinden algılamadan kaçınmak için diskten kendini siler ve iş parçacığını sürdürür.
Sıçan, ağ tabanlı izlemeyi gidermek için RSA-4096 ve AES-CBC kombinasyonunu kullanarak C2 iletişim kanallarını şifreler.
Malwarebebytes henüz kötü amaçlı yazılımları ve saldırıları bilinen bir tehdit grubuna bağlamadı, ancak olası şüphelilerin çok kısa bir listesinin Çin ve Kuzey Kore Apts'ı içerdiğini söyledi.
Araştırmacılar, "Bu çok yetenekli sıçan, izlediğimiz bilinmeyen tehdit aktörleri kategorisine giriyor. Tarihsel olarak, Tonto ekibi ve Konni ile Kuzey Kore gibi Çin aptleri Rusya'yı hedef aldı."
"Ancak, ne toplayabildiğimize dayanarak, bu kampanyayı belirli bir tehdit oyuncusuna atfetecek sağlam bir gösterge yoktu."
Bu, Rus yetkilileri, devlet kurumlarını ve varlıklarını ve havacılık firmalarını hedefleyen Çin hackleme gruplarını gören diğer birkaç satıcının son bulgularıyla uyumludur.
Yeni Zuorat Kötü Yazılım Hedefleri Kuzey Amerika, Avrupa'da Soho Yönlendiricileri
Çinli hackerlar yeni Kobalt grev benzeri saldırı çerçevesi kullanıyor
Avustralya Ücretleri Yerli istismarcılar tarafından kullanılan yakın monitör sıçanının devi
Kuzey Koreli hackerlar, Konni Rat kötü amaçlı yazılımlarla AB hedeflerine saldırıyor
Rus hackerlar Ukraynalı aktivistlere enfekte etmek için sahte DDOS uygulaması kullanıyor
Kaynak: Bleeping Computer