黑客利用新型远程访问木马Woody RAT对俄罗斯组织进行攻击

网络攻击，在这几年中发展得比较快速，在多种因素的影响下，各种各样的网络攻击事件一直在发生。对网络安全有一定关注的人，就会发现这些网络攻击事件中，出现的比较多的攻击手段就有恶意软件以及黑客利用漏洞进行攻击，这些攻击所造成的影响无非就是金钱或是用户数据以及相关凭证的丢失，对于一些企业而言这种攻击所带来的影响是比较大的，并且这些损失，也会让企业陷入到各种危机中。

近几天，Malwarebytes的网络安全专家，就发现了一种被称为Woody RAT的新型远程木马攻击，经过相关的调查，专家发现这种攻击以俄罗斯实体为目标长达一年之久。远程访问木马，其实就是一种恶意程序，并且还包括了在受害者计算机中进行管理后门，这种远程访问木马一般来说，是和像游戏程序这种受害者请求的程序捆绑在一起的，在下载的时候是看不见的，并且它还可以用电子附件来进行发送。这种攻击对于个人和企业而言，是一种危害性比较强的网络攻击手段。

安全专家在调查后发现，黑客通过Woody RAT远程访问木马进行攻击的时候，主要是利用Follina Windows漏洞中的，存档文件和Microsoft Office文档来传递恶意软件。黑客利用的存档文件，主要就是anketa_brozhik.doc.zip，这个文件中有Woody Rat的可执行文件，并且还有Anketa_Brozhik.doc.exe，zayavka.zip，最值得重视的就是，在这个文件中还有伪装的selection.doc.exe的应用程序的Woody Rat的攻击。这种带着可执行的文件存档，会被黑客以鱼叉式网络钓鱼电子邮件的方式，进行发送给目标用户。

Woody RAT恶意软件为了躲避网络的监控，还会通过RSA-4096和AES-CBC来加密发送到C2数据。此外研究员通过分析，还发现这个恶意软件内嵌了2个NET DLL，一个是WoodySharpExecutor，它可以让运行中的恶意软件从C2中接收到.NET代码，还有一个就是WoodyPowerSession可以接收到owerShell命令和脚本。

这种远程访问木马是一种危害性比较强的网络攻击，因为它可以进行管理控制，所以一旦被黑客入侵，那么入侵者将可以在入侵的计算机上做任何事，如：对文件系统进行删除或下载、访问计算机的机密信息、对计算机用户进行监视、传播病毒与一些恶意软件等这些操作。这种网络安全攻击也是比较难以被发现的，因为它一般不会在运行的程序或任务的列表中出现。所以我们想要预防被攻击，就要采取一定的针对措施。