LaptopMasbi.com – Aktor ancaman yang tidak dikenal telah menargetkan entitas Rusia dengan trojan akses jarak jauh yang baru ditemukan bernama Woody RAT setidaknya selama satu tahun sebagai bagian dari kampanye spear-phishing.
Backdoor kustom canggih dikatakan dikirimkan melalui salah satu dari dua metode: file arsip dan dokumen Microsoft Office yang memanfaatkan kerentanan alat diagnostik dukungan “Follina” yang sekarang ditambal (CVE-2022-30190) di Windows.
Seperti implan lain yang dirancang untuk operasi yang berorientasi spionase, Woody RAT memiliki berbagai fitur yang memungkinkan pelaku ancaman untuk mengambil alih dan mencuri informasi sensitif dari sistem yang terinfeksi dari jarak jauh.
“Versi paling awal dari RAT ini biasanya diarsipkan ke dalam file ZIP yang berpura-pura menjadi dokumen khusus untuk grup Rusia,” kata peneliti Malwarebytes Ankur Saini dan Hossein Jazi dalam laporan hari Rabu.
“Ketika kerentanan Follina diketahui dunia, pelaku ancaman beralih ke sana untuk mendistribusikan muatan.”
Dalam satu contoh, kelompok peretas berusaha menyerang entitas kedirgantaraan dan pertahanan Rusia yang dikenal sebagai OAK berdasarkan bukti yang diperoleh dari domain palsu yang terdaftar untuk tujuan ini.
Serangan yang memanfaatkan kelemahan Windows sebagai bagian dari kampanye ini pertama kali terungkap pada 7 Juni 2022, ketika para peneliti dari MalwareHunterTeam diungkapkan penggunaan dokumen bernama “Памятка.docx” (yang diterjemahkan menjadi “Memo.docx”) untuk mengirimkan muatan CSS yang berisi trojan.
Dokumen tersebut konon menawarkan praktik keamanan terbaik untuk kata sandi dan informasi rahasia, antara lain, sambil bertindak sebagai umpan untuk menjatuhkan pintu belakang.
Selain mengenkripsi komunikasinya dengan server jarak jauh, Woody RAT dilengkapi dengan kemampuan untuk menulis file arbitrer ke mesin, mengeksekusi malware tambahan, menghapus file, menghitung direktori, menangkap tangkapan layar, dan mengumpulkan daftar proses yang sedang berjalan.
Juga tertanam di dalam malware adalah dua perpustakaan berbasis .NET bernama WoodySharpExecutor dan WoodyPowerSession yang dapat digunakan untuk menjalankan kode .NET dan perintah PowerShell yang diterima masing-masing dari server.
Selain itu, malware menggunakan teknik pengosongan proses untuk menyuntikkan dirinya ke dalam proses Notepad yang ditangguhkan dan menghapus dirinya sendiri dari disk untuk menghindari deteksi dari perangkat lunak keamanan yang diinstal pada host yang disusupi.
Malwarebytes belum mengaitkan serangan tersebut dengan aktor ancaman tertentu, dengan alasan kurangnya indikator kuat yang menghubungkan kampanye tersebut dengan kelompok yang diketahui sebelumnya, meskipun kolektif negara-bangsa China dan Korea Utara telah menargetkan Rusia di masa lalu.