{"id":271255,"date":"2022-08-05T18:05:23","date_gmt":"2022-08-05T16:05:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271255"},"modified":"2022-08-15T11:36:02","modified_gmt":"2022-08-15T09:36:02","slug":"remote-access-trojaner-woody-rat-nutze-follina-exploits-fr-angriffe-auf-russische-organisationen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/05\/remote-access-trojaner-woody-rat-nutze-follina-exploits-fr-angriffe-auf-russische-organisationen\/","title":{"rendered":"Remote-Access-Trojaner &quot;Woody Rat&quot; nutzt Follina-Exploits f&uuml;r Angriffe auf russische Organisationen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/08\/05\/remote-access-trojaner-woody-rat-nutze-follina-exploits-fr-angriffe-auf-russische-organisationen\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Das Threat-Intelligence-Team von <a href=\"https:\/\/de.malwarebytes.com\/\" target=\"_blank\" rel=\"nofollow noopener\">Malwarebytes<\/a> hat einen neuen, technisch fortschrittlichen Remote-Access-Trojaner identifiziert. Der \u201eWoody Rat\" getaufte Trojaner ist seit rund einem Jahr im Umlauf und zielt auf russische Organisationen ab. Unter anderem wurde bereits <a href=\"https:\/\/en.wikipedia.org\/wiki\/United_Aircraft_Corporation\" target=\"_blank\" rel=\"noopener\">Obyedinyonnaya Aviastroitelnaya Korporatsiya<\/a> (OAK), ein Luftfahrt- und Verteidigungsunternehmen, das sich mehrheitlich im russischen Staatsbesitz befindet, zum Ziel von Woody Rat. Der Trojaner nutzt den sogenannten Follina-Exploit (CVE-2022-30190), eine Zero-Day-Schwachstelle, mit der die Microsoft Support Diagnostics Utility missbraucht werden kann, um sch\u00e4dliche Microsoft Word- oder Excel-Dokumente aus dem Web herunterzuladen.<\/p>\n<p><!--more--><\/p>\n<p>In einer Nachricht, die mir von Malwarebytes zuging, schreiben deren Sicherheitsforscher, dass Woody Rat zun\u00e4chst \u00fcber Archivdateiformate (typischerweise ZIP-Dateien) verbreitet worden sei. Nach dem Bekanntwerden des Follina-Exploits (siehe z.B. <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/09\/follina-schwachstelle-cve-2022-30190-neue-erkenntnisse-neue-risiken\/\">Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)<\/a>) wechselten die Angreifer zu diesem Exploit. Dabei nutzten sie ein Office-Dokument namens \u041f\u0430\u043c\u044f\u0442\u043a\u0430.docx (\u201eMemo zur Informationssicherheit\"), um den Trojaner zu verbreiten. Das Dokument enth\u00e4lt vermeintlich relevante Informationen und Best Practices zu Passwortsicherheit und Datenschutz.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Woody Rats trojan\" src=\"https:\/\/i.imgur.com\/V1iu0J2.png\" alt=\"Woody Rats trojan\" width=\"635\" height=\"539\" \/><br \/>\nWoody Rat trojan, Source: Malwarebytes<\/p>\n<p>Die Identit\u00e4t der f\u00fcr Woody Rat verantwortlichen Hacker l\u00e4sst sich bisher, nach Aussagen von Malwarebytes, noch nicht mit Sicherheit ermitteln. Aber \u00e4hnliche Bedrohungen konnten inzwischen von Malwarebytes bereits getrackt werden. In der Vergangenheit hatten chinesische APTs (Advanced Persistent Threats) wie das Tonto-Team oder die nordkoreanische Cybergruppe Konni Russland im Visier. Basierend auf der Analyse von Malwarebytes gibt es aber keine eindeutigen Indikatoren, die Woody Rat einem bestimmten Akteur zuordnen k\u00f6nnten. Mehr zur Funktionsweise und den Verbreitungsmethoden von Woody Rat lassen sich in diesem <a href=\"https:\/\/web.archive.org\/web\/20220806131130\/https:\/\/blog.malwarebytes.com\/threat-intelligence\/2022\/08\/woody-rat-a-new-feature-rich-malware-spotted-in-the-wild\/\" target=\"_blank\" rel=\"noopener\">Bericht<\/a> von Malwarebytes nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Das Threat-Intelligence-Team von Malwarebytes hat einen neuen, technisch fortschrittlichen Remote-Access-Trojaner identifiziert. Der \u201eWoody Rat\" getaufte Trojaner ist seit rund einem Jahr im Umlauf und zielt auf russische Organisationen ab. Unter anderem wurde bereits Obyedinyonnaya Aviastroitelnaya Korporatsiya (OAK), ein Luftfahrt- und &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/08\/05\/remote-access-trojaner-woody-rat-nutze-follina-exploits-fr-angriffe-auf-russische-organisationen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271255","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271255","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271255"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271255\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271255"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271255"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271255"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}