Yeni kötü amaçlı yazılım Woody RAT, Microsoft Office Folina güvenlik açığından yararlanıyor

Malwarebytes Tehdit İstihbaratı ekibi, Woody RAT adını verdikleri ve en az bir yıldır aktif olan yeni bir Uzaktan Erişim Truva Atı (RAT) tespit etti.

Bu gelişmiş özel RAT, temel olarak, sahte dosya formatı ve daha yakın zamanda Follina’dan yararlanan Office belgeleri kullanarak Rus varlıklarını hedef alan bir tehdit aktörünün eseridir.

Tehdit aktörleri tarafından kaydedilen sahte bir alana göre, OAK olarak bilinen bir Rus havacılık ve savunma kuruluşunu hedef almaya çalıştılar.

dağıtım yöntemleri

Woody RAT, iki farklı biçim kullanılarak dağıtılmıştır: Follina güvenlik açığını kullanan arşiv dosyaları ve Office belgeleri. İlk sürümler tipik olarak bir Rus grubundan belirli bir belge olduğu iddia edilen bir ZIP dosyasında dağıtıldı. Follina güvenlik açığı dünya çapında bilinir hale geldiğinde, tehdit aktörü yükü dağıtmak için ona geçti.

Aşağıdaki şema, tehdit aktörü tarafından Woody RAT’ı yaymak için kullanılan genel saldırı akışını göstermektedir:

Sıkıştırılmış dosyalar

Bu yöntemde Woody RAT bir dosyaya paketlenir ve mağdurlara gönderilir. Bu dosyalar hedef odaklı kimlik avı e-postaları aracılığıyla dağıtılmıştır ve işte bazı örnekler:

• anketa_brozhik.doc.zip – Aynı ada sahip Woody RAT yürütülebilir dosyasını içerir.
• zayavka.zip: Geçerli bir uygulama olarak görünen Woody RAT içerir.

Follina güvenlik açığı

Tehdit aktörü, Woody RAT’ı indirmek için Follina güvenlik açığı (CVE-2022-30190) ile donatılmış bir Microsoft Office belgesi (*.docx) kullanıyor. Rusçada kullanılan yem denir “Bilgi Güvenliği Notu”parolalar, hassas bilgiler vb. için güvenlik uygulamaları sağlar.

Bilinmeyen Tehdit Aktör

Tarihsel olarak, Tonto Teams ve Kuzey Kore’den Konni gibi Çinli APT’ler Rusya’yı hedef aldı. Ancak bu durumda, bu kampanyayı belirli bir tehdit aktörüne bağlamak için güçlü göstergeler toplayamadık.