Команда Malwarebytes Threat Intelligence обнаружила нового троянца удаленного доступа, получившего название "WoodyRAT". Этот продвинутый пользовательский RAT в основном является работой агента угроз, который нацелен на российские организации, используя приманки в формате архивных файлов и, в последнее время, документов Office, используя уязвимость Follina.
Самые ранние версии этой RAT обычно архивировались в zip-файл, выдавая его за документ, предназначенный для российской группы. Когда уязвимость Follina стала известна всему миру, угрожающий агент переключился на нее для распространения полезной нагрузки.
WoodyRAT собирает и отправляет системную информацию, такую как информация об учетных записях пользователей, антивирусная информация, сетевые интерфейсы и т.д., посредством отправки на C2.
Indicators of Compromise
IPv4
- 194.36.189.179
Domains
- kurmakata.duckdns.org
- microsoft-ru-data.ru
- microsoft-telemetry.ru
- oakrussia.ru
URLs
- http://fcloud.nciinform.ru/main.css
- http://garmandesar.duckdns.org:444/uoqiuwef.html
SHA256
- 0588c52582aad248cf0c43aa44a33980e3485f0621dba30445d8da45bba4f834
- 3ba32825177d7c2aac957ff1fc5e78b64279aeb748790bc90634e792541de8d3
- 408f314b0a76a0d41c99db0cb957d10ea8367700c757b0160ea925d6d7b5dd8e
- 43b15071268f757027cf27dd94675fdd8e771cdcd77df6d2530cb8e218acc2ce
- 5c5020ee0f7a5b78a6da74a3f58710cba62f727959f8ece795b0f47828e33e80
- 66378c18e9da070629a2dbbf39e5277e539e043b2b912cc3fed0209c48215d0b
- 982ec24b5599373b65d7fec3b7b66e6afff4872847791cf3c5688f47bfcb8bf0
- 9bc071fb6a1d9e72c50aec88b4317c3eb7c0f5ff5906b00aa00d9e720cbc828d
- b65bc098b475996eaabbb02bb5fee19a18c6ff2eee0062353aff696356e73b7a
- ffa22c40ac69750b229654c54919a480b33bc41f68c128f5e3b5967d442728fb