WogRAT retter sig mod både Windows og Linux

En nyligt opdaget ondsindet software, kaldet "WogRAT", er rettet mod både Windows- og Linux-systemer. Den bruger den online notesblok platform kaldet "aNotepad" som en skjult kanal til lagring og udvinding af ondsindet kode.

Ifølge forskere fra AhnLab Security Intelligence Center (ASEC), som har navngivet malware-strengen "WingOfGod", har den været aktiv siden mindst slutningen af 2022 med fokus på lande som Japan, Singapore, Kina, Hong Kong, og andre asiatiske nationer.

Distributionsmetoderne er i øjeblikket ukendte, men filnavnene på de udpakkede eksekverbare filer ligner dem på populær software (f.eks. flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Dette tyder på, at malware sandsynligvis spredes gennem ondsindet software eller lignende ordninger.

Det er bemærkelsesværdigt, at aNotepad, en gratis online notesblokplatform, misbruges i denne sammenhæng til at være vært for et base64-kodet .NET binært program af Windows-versionen af malwaren, forklædt som et Adobe-værktøj.

Da aNotepad er en legitim onlinetjeneste, bliver den uopdaget af sikkerhedsværktøjer, hvilket bidrager til en mere diskret infektionskæde.

Når malwaren i første omgang kører på offerets maskine, er der mindre sandsynlighed for, at den bliver markeret af antivirusværktøjer, da den ikke udviser nogen ondsindede funktioner.

Den ondsindede software indeholder dog krypteret kildekode til en malware-downloader, som kompileres og udføres i bevægelse.

Denne downloader henter et andet ondsindet .NET binært program gemt i base64-kodet form i Notesblok, hvilket resulterer i indlæsning af en DLL, der fungerer som bagdøren for WogRAT.

WogRATs grundlæggende kommandoer

WogRAT sender en grundlæggende profil af det inficerede system til kommando- og kontrolserveren (C2) og modtager kommandoer til udførelse. Fem funktioner understøttes:

Kommandoudførelse
Fil download fra en specificeret URL
Upload en specificeret fil til C2
Vent i et bestemt tidspunkt (i sekunder)
Opsige

Malware kommer også i Linux-variant

Linux-versionen af WogRAT, der tilbydes i ELF-format, deler mange ligheder med Windows-varianten. Det adskiller sig dog ved at bruge Tiny Shell til routingoperationer og yderligere kryptering i sin kommunikation med C2.

Tiny Shell er en open source-bagdør, der letter dataudveksling og kommandoudførelse på Linux-systemer for forskellige trusler, inklusive LightBasin, OldGremlin, UNC4540 og de uidentificerede operatører af Linux-rootkittet "Syslogk".

En anden bemærkelsesværdig forskel er, at kommandoer i Linux-varianten ikke sendes via POST-anmodninger, men udstedes gennem en omvendt shell, der er oprettet på en specifik IP-adresse og port.