[English]Das Threat-Intelligence-Team von Malwarebytes hat einen neuen, technisch fortschrittlichen Remote-Access-Trojaner identifiziert. Der „Woody Rat" getaufte Trojaner ist seit rund einem Jahr im Umlauf und zielt auf russische Organisationen ab. Unter anderem wurde bereits Obyedinyonnaya Aviastroitelnaya Korporatsiya (OAK), ein Luftfahrt- und Verteidigungsunternehmen, das sich mehrheitlich im russischen Staatsbesitz befindet, zum Ziel von Woody Rat. Der Trojaner nutzt den sogenannten Follina-Exploit (CVE-2022-30190), eine Zero-Day-Schwachstelle, mit der die Microsoft Support Diagnostics Utility missbraucht werden kann, um schädliche Microsoft Word- oder Excel-Dokumente aus dem Web herunterzuladen.
Anzeige
In einer Nachricht, die mir von Malwarebytes zuging, schreiben deren Sicherheitsforscher, dass Woody Rat zunächst über Archivdateiformate (typischerweise ZIP-Dateien) verbreitet worden sei. Nach dem Bekanntwerden des Follina-Exploits (siehe z.B. Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)) wechselten die Angreifer zu diesem Exploit. Dabei nutzten sie ein Office-Dokument namens Памятка.docx („Memo zur Informationssicherheit"), um den Trojaner zu verbreiten. Das Dokument enthält vermeintlich relevante Informationen und Best Practices zu Passwortsicherheit und Datenschutz.
Woody Rat trojan, Source: Malwarebytes
Die Identität der für Woody Rat verantwortlichen Hacker lässt sich bisher, nach Aussagen von Malwarebytes, noch nicht mit Sicherheit ermitteln. Aber ähnliche Bedrohungen konnten inzwischen von Malwarebytes bereits getrackt werden. In der Vergangenheit hatten chinesische APTs (Advanced Persistent Threats) wie das Tonto-Team oder die nordkoreanische Cybergruppe Konni Russland im Visier. Basierend auf der Analyse von Malwarebytes gibt es aber keine eindeutigen Indikatoren, die Woody Rat einem bestimmten Akteur zuordnen könnten. Mehr zur Funktionsweise und den Verbreitungsmethoden von Woody Rat lassen sich in diesem Bericht von Malwarebytes nachlesen.
2015
