Un acteur malveillant inconnu cible des entités russes avec un cheval de Troie d’accès à distance récemment découvert appelé RAT boisé pendant au moins un an dans le cadre d’une campagne de harponnage.

La porte dérobée personnalisée avancée est censée être livrée via l’une des deux méthodes suivantes : les fichiers d’archive et les documents Microsoft Office exploitant la vulnérabilité de l’outil de diagnostic de support « Follina » désormais corrigée (CVE-2022-30190) dans Windows.

Comme d’autres implants conçus pour des opérations axées sur l’espionnage, Woody RAT propose un large éventail de fonctionnalités qui permettent à l’auteur de la menace de réquisitionner à distance et de voler des informations sensibles des systèmes infectés.

« Les premières versions de ce RAT étaient généralement archivées dans un fichier ZIP prétendant être un document spécifique à un groupe russe », ont déclaré les chercheurs de Malwarebytes Ankur Saini et Hossein Jazi. a dit dans un rapport de mercredi.

« Lorsque la vulnérabilité Follina a été connue du monde entier, l’acteur de la menace s’y est tourné pour distribuer la charge utile. »

Dans un cas, le groupe de piratage a tenté de frapper une entité russe de l’aérospatiale et de la défense connue sous le nom de CHÊNE sur la base de preuves glanées sur un faux domaine enregistré à cet effet.

Les attaques exploitant la faille Windows dans le cadre de cette campagne ont été révélées pour la première fois le 7 juin 2022, lorsque des chercheurs de MalwareHunterTeam divulgué l’utilisation d’un document nommé « Памятка.docx » (qui se traduit par « Memo.docx ») pour fournir une charge utile CSS contenant le cheval de Troie.

Le document propose prétendument les meilleures pratiques de sécurité pour les mots de passe et les informations confidentielles, entre autres, tout en agissant comme un leurre pour laisser tomber la porte dérobée.

En plus de crypter ses communications avec un serveur distant, Woody RAT est équipé de capacités pour écrire des fichiers arbitraires sur la machine, exécuter des logiciels malveillants supplémentaires, supprimer des fichiers, énumérer des répertoires, capturer des captures d’écran et rassembler une liste des processus en cours d’exécution.

Deux bibliothèques basées sur .NET, nommées WoodySharpExecutor et WoodyPowerSession, peuvent également être utilisées pour exécuter le code .NET et les commandes PowerShell reçues du serveur, respectivement.

De plus, le logiciel malveillant utilise le technique de creusement de processus pour s’injecter dans un processus Bloc-notes suspendu et se supprimer du disque pour échapper à la détection du logiciel de sécurité installé sur l’hôte compromis.

Malwarebytes n’a pas encore attribué les attaques à un acteur menaçant spécifique, citant un manque d’indicateurs solides reliant la campagne à un groupe déjà connu, bien que des collectifs d’États-nations chinois et nord-coréens aient ciblé la Russie dans le passé.