Remote-Access-Trojaner "Woody Rat" nutzt Follina-Exploits für Angriffe auf russische Organisationen

Sicherheit (Pexels, allgemeine Nutzung)[English]Das Threat-Intelligence-Team von Malwarebytes hat einen neuen, technisch fortschrittlichen Remote-Access-Trojaner identifiziert. Der „Woody Rat" getaufte Trojaner ist seit rund einem Jahr im Umlauf und zielt auf russische Organisationen ab. Unter anderem wurde bereits Obyedinyonnaya Aviastroitelnaya Korporatsiya (OAK), ein Luftfahrt- und Verteidigungsunternehmen, das sich mehrheitlich im russischen Staatsbesitz befindet, zum Ziel von Woody Rat. Der Trojaner nutzt den sogenannten Follina-Exploit (CVE-2022-30190), eine Zero-Day-Schwachstelle, mit der die Microsoft Support Diagnostics Utility missbraucht werden kann, um schädliche Microsoft Word- oder Excel-Dokumente aus dem Web herunterzuladen.


Anzeige

In einer Nachricht, die mir von Malwarebytes zuging, schreiben deren Sicherheitsforscher, dass Woody Rat zunächst über Archivdateiformate (typischerweise ZIP-Dateien) verbreitet worden sei. Nach dem Bekanntwerden des Follina-Exploits (siehe z.B. Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)) wechselten die Angreifer zu diesem Exploit. Dabei nutzten sie ein Office-Dokument namens Памятка.docx („Memo zur Informationssicherheit"), um den Trojaner zu verbreiten. Das Dokument enthält vermeintlich relevante Informationen und Best Practices zu Passwortsicherheit und Datenschutz.

Woody Rats trojan
Woody Rat trojan, Source: Malwarebytes

Die Identität der für Woody Rat verantwortlichen Hacker lässt sich bisher, nach Aussagen von Malwarebytes, noch nicht mit Sicherheit ermitteln. Aber ähnliche Bedrohungen konnten inzwischen von Malwarebytes bereits getrackt werden. In der Vergangenheit hatten chinesische APTs (Advanced Persistent Threats) wie das Tonto-Team oder die nordkoreanische Cybergruppe Konni Russland im Visier. Basierend auf der Analyse von Malwarebytes gibt es aber keine eindeutigen Indikatoren, die Woody Rat einem bestimmten Akteur zuordnen könnten. Mehr zur Funktionsweise und den Verbreitungsmethoden von Woody Rat lassen sich in diesem Bericht von Malwarebytes nachlesen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.