Neuer Remote-Access-Trojaner

„Woody Rat“ greift russische Organisationen an

12. August 2022, 12:10 Uhr | Lars Bube | Kommentar(e)
Ratte mal, wer sich hier versteckt
© Kai Beercrafter - AdobeStock

Security-Experten von Malwarebytes haben einen ausgefeilten Remote-Access-Trojaner aufgespürt, der den Follina-Exploit ausnutzt. Ihnen zufolge setzt sich „Woody Rat“ bereits seit Monaten vorwiegend in den Systemen russischer Unternehmen fest und bereitet dort Angriffe vor.

Das Threat-Intelligence-Team von Malwarebytes hat einen neuen, technisch fortschrittlichen Remote-Access-Trojaner identifiziert. Den Erkenntnissen der Experten zufolge ist der „Woody Rat“ getaufte APT-Schädling schon seit rund einem Jahr aktiv und hat sich in dieser Zeit hauptsächlich in den IT-Systemen russischer Firmen und Organisationen eingenistet. Mit seiner Hilfe haben die Cyberkriminellen unter anderem bereits das mehrheitlich staatliche Luftfahrt- und Verteidigungsunternehmen Aviastroitelnaya Korporatsiya (OAK) angegriffen. Wie die Cyber-Ermittler weiter herausfanden, wurde der Trojaner anfangs noch über Archivdateiformate, meist in Form von ZIP-Dateien, verbreitet.

Inzwischen jedoch haben die dahintersteckenden Cyberkriminellen umgeschwenkt und nutzen den sogenannten Follina-Exploit (CVE-2022-30190), der auch einer Reihe anderer Schädlinge als Einfallstor dient. Über diese Schwachstelle kann die Microsoft Support Diagnostics Utility dazu missbraucht werden, verseuchte Microsoft Word- oder Excel-Dokumente aus dem Web herunterzuladen. Bei Woody Rat dient den Angreifern demnach hauptsächlich ein Office-Dokument namens „Памятка.docx“ („Memo zur Informationssicherheit“) mit vermeintlich relevanten Informationen und Best Practices zu Passwortsicherheit und Datenschutz zur Verbreitung des Trojaners.

Unklar ist bisher noch, wer hinter den Angriffen stecken könnte. Es gibt zwar einige Ähnlichkeiten zu ähnlichen Bedrohungen aus der Vergangenheit, für die etwa die chinesische APT-Gruppe Tonto-Team und die nordkoreanische Cybercrimegruppe Konni verantwortlich waren. Allerdings fehlen Indikatoren, mit denen Woody Rat eindeutig einem bestimmten Akteur zugeordnet werden könnte. Insofern ist bislang auch nicht abzuschätzen, ob sich die Fokussierung der Angriffe weiterhin auf Russland beschränken wird.


Verwandte Artikel

Malwarebytes

IT-Security

Matchmaker+