Woody RAT, Utiliza Archivos ZIP Y Follina Para Propagarse
El equipo de Malwarebytes Threat Intelligence ha identificado un nuevo troyano de acceso remoto (RAT), al que llamaron Woody RAT, y que ha estado en estado salvaje durante al menos un año.
Este RAT personalizado avanzado es principalmente el trabajo de un actor de amenazas que apunta a entidades rusas mediante el uso de señuelos en formato de archivo y, más recientemente, documentos de Office que aprovechan la vulnerabilidad de Follina.
Según un dominio falso registrado por los actores de amenazas, intentaron apuntar a una entidad aeroespacial y de defensa rusa conocida como OAK.
Métodos de distribución
Woody RAT se ha distribuido utilizando dos formatos diferentes: archivos de archivo y documentos de Office utilizando la vulnerabilidad Follina. Las primeras versiones normalmente se distribuían en un archivo ZIP que pretendía ser un documento específico de un grupo ruso. Cuando la vulnerabilidad de Follina se dio a conocer en todo el mundo, el actor de amenazas cambió a ella para distribuir la carga útil.
El siguiente diagrama muestra el flujo de ataque general utilizado por el actor de amenazas para propagar a Woody RAT:
Archivos comprimidos
En este método, Woody RAT se empaqueta en un archivo y se envía a las víctimas. Estos archivos se han distribuido mediante correos electrónicos de phishing dirigido y estos son algunos ejemplos:
- anketa_brozhik.doc.zip: contiene el ejecutable de Woody RAT con el mismo nombre.
- zayavka.zip: Contiene Woody RAT haciéndose pasar por una aplicación válida.
Vulnerabilidad de Follina
El actor de amenazas está utilizando un documento de Microsoft Office (*.docx) que se ha armado con la vulnerabilidad Follina (CVE-2022-30190) para descargar a Woody RAT. El señuelo utilizado en ruso se llama "Memo de seguridad de la información", que proporciona prácticas de seguridad para contraseñas, información confidencial, etc.
Actor de amenazas desconocido
Históricamente, las APT chinas como Tonto Teams y Konni de Corea del Norte han apuntado a Rusia. Sin embargo, en este caso no se pudo recopilar indicadores sólidos para atribuir esta campaña a un actor de amenazas específico.
Fuente: MalwareBytes
Via: blog.segu-info.com.ar