Woody RAT というリモートアクセス・トロイの木馬が登場:標的はロシアの組織

New Woody RAT used in attacks aimed at Russian entities

2022/08/04 SecurityAffairs — Malwarebytes の研究者たちは、Woody RAT と呼ばれる新たなリモート・アクセス型トロイの木馬で、ロシアの組織を標的とする未知の脅威アクターを観察した。攻撃者は、Follina Windows の欠陥 (CVE-2022-30190) を悪用するアーカイブ・ファイルや Microsoft Office ドキュメントを用いて、マルウェアを配信していた。

この脅威アクターが登録した偽ドメインをみると、ロシアの事業体に焦点を当てていると推測されてくる。Malwarebytes の認識は、OAK というロシアの航空宇宙/防衛の事業体がターゲットにされたというものだ。

Malwarebytes が公開したレポートには、「この RAT の初期バージョンは、ロシアのグループ特有のドキュメントを装った、ZIPファイルにアーカイブされていた。Follina の脆弱性が世間に知られるようになると、脅威アクターはペイロードを配布するための手口を切り替えたと、@MalwareHunterTeam は結論づけた」と記載されている。

Woody Rat distribution methods
Source: Malwarebytes

アーカイブ・ファイル (Woody Rat 実行ファイルを含む anketa_brozhik.doc.zip および、selection.doc.exe を装った Woody Rat を含む Anketa_Brozhik.doc.exe とzayavka.zip) を利用した攻撃では、スピアフィッシング・メールを介して、このアーカイブが被害者に送信される。

Windows Follina の欠陥を悪用した攻撃は、Памятка.docx というタイトルの武器化した Microsoft Office ドキュメントを使用する脅威アクターを、2022年6月7日に研究者が観察したときに発見された。“Information Security Memo” という名のルアー文書は、パスワードや機密情報などに関するセキュリティの実践方法を提供している。

ネットワークベースの監視を回避するために、Woody RAT マルウェアは、RSA-4096 と AES-CBC を組み合わせて、Command and Control サーバに送信されるデータを暗号化している。 

この RAT は、マシンへの任意のファイルの書き込み/追加のマルウェアの実行/スクリーンショットのキャプチャ/ディレクトリの列挙/ファイルの削除/実行中プロセスリストの収集など、複数のバックドア機能を備えている。

一連の悪意のコードを分析した結果、このマルウェアは、WoodySharpExecutor と WoodyPowerSession という名前の、2つの .NET DLL を内部に埋め込んでいることが判明した。 WoodySharpExecutor は、マルウェアが C2 サーバから受け取った .NET コードを実行し、WoodyPowerSession は C2 から受け取った PowerShell コマンド/スクリプトを実行する。

コマンド・スレッドの作成が完了すると、このマルウェアは、ProcessHollowing の技術を用いてディスクから自身を削除する。 

研究者たちは、「この非常に有能な RAT は、私たちが追跡している未知の脅威者のカテゴリに入る。これまでにも、Tonto チームなどの中国の APT や、Konni などの北朝鮮の APT は、ロシアを標的としてきた。しかし、私たちが収集した情報によると、このキャンペーンを特定の脅威者に帰属させる、確かな指標は見つからなかった」と結んでいる。

ロシアを標的にする RAT というのは珍しいですが、この記事では、中国もしくは北朝鮮からの攻撃を匂わしているのでしょうかね。たしかに、2012年8月には「ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている」という記事もあり、これらの国々が、サイバー空間で協調しているわけでは無いことが分かります。だた、ロシアのウクライナ侵攻後には、Anonymous と Ukraine IT Army が、ロシアを継続的に攻撃しているはずなので、こちらの線もあり得ます。

%d bloggers like this: