Malwarebytes’in Tehdit İstihbaratı ekibi, arşiv dosyası biçimindeki yemleri ve Follina güvenlik açığından yararlanan Office belgelerini kullanarak Rus varlıklarını hedefleyen ‘Woody Rat’ adlı yeni bir Uzaktan Erişim Truva Atı keşfetti.
Malwarbytes araştırmacıları, tehdit aktörlerinin ‘OAK’ adlı bir Rus havacılık ve savunma kuruluşunu hedef almayı amaçladıklarını belirtti.
Uzaktan Erişim Truva Atı – Woody Rat
Araştırmacılara göre Woody Rat, Follina güvenlik açığı kullanılarak arşiv dosyaları ve Office belgeleri olmak üzere iki farklı format kullanılarak dağıtıldı.
Follina güvenlik açığı, bir saldırganın kötü amaçlı bir Word belgesi kullanarak rastgele kod yürütmesine olanak tanır. Bu güvenlik açığı, msdt.exe’yi tetiklemek için yerleşik MS URL işleyicilerinden yararlanır; bu işlem daha sonra PowerShell komutlarını yürütmek için kullanılabilir.
Bu durumda, tehdit aktörü, Woody Rat’ı düşürmek için Follina (CVE-2022-30190) güvenlik açığı ile silahlandırılmış bir Microsoft Office belgesi kullanıyor.
Bu Rat’ın ilk sürümleri, bir Rus grubuna özgü bir belgeymiş gibi davranan bir zip dosyasına arşivlendi. Ancak Follina güvenlik açığının ortaya çıkmasından sonra, tehdit aktörleri yükü dağıtmak için ona geçti.
Arşiv dosyaları yönteminde Woody Rat, bir arşiv dosyasına paketlenir ve kurbanlara gönderilir. Bu arşiv dosyalarının hedef odaklı kimlik avı e-postaları kullanılarak dağıtıldığına inanılıyor. Örneğin: anketa_brozhik.doc.zip: Aynı ada sahip Woody Rat’ı içerir: Anketa_Brozhik.doc.exe.
Bu nedenle dağıtım yöntemleri sistem bilgilerini toplar, klasörleri ve çalışan işlemleri listeler, komut ve kontrol (C2) sunucusundan alınan komutları ve dosyaları yürütür, virüslü makinelerdeki dosyaları indirir, karşıya yükler ve siler ve ekran görüntüleri alır.
Uzmanlar, bu Rat’ın WoodySharpExecutor ve WoodyPowerSession adlı iki DLL kullanarak C2 sunucusundan aldığı .NET kodunu ve PowerShell komutlarını ve komut dosyalarını çalıştırabildiğini söylüyor.
“Tarihsel olarak, Tonto ekibi gibi Çinli APT’ler ve Konni ile Kuzey Kore Rusya’yı hedef aldı. Ancak, toplayabildiklerimize dayanarak, bu kampanyayı belirli bir tehdit aktörüne bağlayacak sağlam göstergeler yoktu” diyor araştırmacılar..
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.