Malwarebytesは8月3日(米国時間)、「Woody RAT: A new feature-rich malware spotted in the wild|Malwarebytes Labs」において、新しいリモートアクセス型のトロイの木馬を特定したと伝えた。「Woody RAT」と名付けられたこのトロイの木馬は、ロシアの航空宇宙・防衛関連企業を標的にしていたことが確認されている。

  • Woody RAT: A new feature-rich malware spotted in the wild|Malwarebytes Labs

    Woody RAT: A new feature-rich malware spotted in the wild|Malwarebytes Labs

Woody RATはアーカイブファイルや脆弱性「Follina」を悪用したOfficeドキュメントによって配布される、ロシアの航空宇宙関連企業であるOAKをターゲットとする脅威が作成したマルウェアとされている。初期バージョンでは、ロシア特有のドキュメントを装ったZIPファイルにアーカイブされていたが、その後はFollinaの脆弱性を悪用してペイロードを配布する仕組みに変更されたとのことだ。

Woody RATは、C2サーバとの通信を暗号化するだけでなく、追加のマルウェアの実行やデスクトップのスクリーンショット、実行中のプロセスのリストを収集するなどさまざまな機能を備えていることがわかった。

また、WoodySharpExecutorとWoodyPowerSessionという名の2つの.NETベースのライブラリが埋め込まれていることも判明した。WoodySharpExecutorはC2サーバから受け取った.NETコードを実行する機能を提供しており、WoodyPowerSessionはC2サーバから受け取ったPowerShellコマンドやスクリプトを実行する機能を提供しているとのことだ。

Malwarebytesは、この強力なマルウェアを未知の脅威のカテゴリーに分類している。過去には中国の持続的標的型攻撃(APT: Advanced Persistent Threat)グループであるTonto teamや北朝鮮の持続的標的型攻撃グループであるKonniなどがロシアを標的としていたが、このキャンペーンは特定の脅威者に帰属させるための確かな指標は存在しないとしている。