黑客利用新型遠程訪問木馬Woody RAT對俄羅斯組織進行攻擊

網絡攻擊，在這幾年中發展得比較快速，在多種因素的影響下，各種各樣的網絡攻擊事件一直在發生。對網絡安全有一定關注的人，就會發現這些網絡攻擊事件中，出現的比較多的攻擊手段就有惡意軟件以及黑客利用漏洞進行攻擊，這些攻擊所造成的影響無非就是金錢或是用戶數據以及相關憑證的丟失，對于一些企業而言這種攻擊所帶來的影響是比較大的，并且這些損失，也會讓企業陷入到各種危機中。

近幾天，Malwarebytes的網絡安全專家，就發現了一種被稱為Woody RAT的新型遠程木馬攻擊，經過相關的調查，專家發現這種攻擊以俄羅斯實體為目標長達一年之久。遠程訪問木馬，其實就是一種惡意程序，并且還包括了在受害者計算機中進行管理后門，這種遠程訪問木馬一般來說，是和像游戲程序這種受害者請求的程序捆綁在一起的，在下載的時候是看不見的，并且它還可以用電子附件來進行發送。這種攻擊對于個人和企業而言，是一種危害性比較強的網絡攻擊手段。

安全專家在調查后發現，黑客通過Woody RAT遠程訪問木馬進行攻擊的時候，主要是利用Follina Windows漏洞中的，存檔文件和Microsoft Office文檔來傳遞惡意軟件。黑客利用的存檔文件，主要就是anketa_brozhik.doc.zip，這個文件中有Woody Rat的可執行文件，并且還有Anketa_Brozhik.doc.exe，zayavka.zip，最值得重視的就是，在這個文件中還有偽裝的selection.doc.exe的應用程序的Woody Rat的攻擊。這種帶著可執行的文件存檔，會被黑客以魚叉式網絡釣魚電子郵件的方式，進行發送給目標用戶。

Woody RAT惡意軟件為了躲避網絡的監控，還會通過RSA-4096和AES-CBC來加密發送到C2數據。此外研究員通過分析，還發現這個惡意軟件內嵌了2個NET DLL，一個是WoodySharpExecutor，它可以讓運行中的惡意軟件從C2中接收到.NET代碼，還有一個就是WoodyPowerSession可以接收到owerShell命令和腳本。

這種遠程訪問木馬是一種危害性比較強的網絡攻擊，因為它可以進行管理控制，所以一旦被黑客入侵，那么入侵者將可以在入侵的計算機上做任何事，如：對文件系統進行刪除或下載、訪問計算機的機密信息、對計算機用戶進行監視、傳播病毒與一些惡意軟件等這些操作。這種網絡安全攻擊也是比較難以被發現的，因為它一般不會在運行的程序或任務的列表中出現。所以我們想要預防被攻擊，就要采取一定的針對措施。