Неизвестные киберпреступники организуют атаки на компании и организации в России. В их числе – государственные предприятия, связанные с оборонной и аэрокосмической отраслью. Так, специалисты компании Malwarebytes, проанализировав один из подставных доменов, зарегистрированных организаторами атак, пришли к выводу, что среди их целей оказалась Объединенная авиастроительная корпорация (ОАК).

В атаках используется троянец удаленного доступа Woody. Это вредоносное ПО еще около года назад взято на вооружение киберпреступниками – предположительно, имеющими поддержку на уровне национальных правительств. Зловред обладает весьма широкими возможностями, включая сбор системной информации, составление каталога файлов и системных процессов, удаленное исполнение команд, загрузку и выгрузку файлов, удаление данных и создание снимков экрана. Для инфицирования им используются фишинговые сообщения с различными типами вложений. Это может быть ZIP-архив, якобы содержащий важные для получателя документы, либо вредоносный файл Microsoft Word. Во втором случае используется уязвимость Follina, обнаруженная в конце мая нынешнего года. Открытие такого документа приводит к запуску скрипта Powershell, который и устанавливает на устройство троянец Woody.

После установки зловред внедряется в процесс Notepad и удаляет себя с диска, а для коммуникации с командными серверами использует шифрование. Эти меры весьма затрудняют его обнаружение. Исследователи воздерживаются от предположений о том, кто может стоять за атаками, однако в числе наиболее вероятных организаторов называют киберпреступные группировки из КНР и Северной Кореи.