WogRAT zielt sowohl auf Windows als auch auf Linux ab

Eine kürzlich entdeckte Schadsoftware namens „WogRAT“ zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Es nutzt die Online-Notizblock-Plattform „aNotepad“ als verdeckten Kanal zum Speichern und Extrahieren von Schadcode.

Laut Forschern des AhnLab Security Intelligence Center (ASEC), die die Malware-Zeichenfolge „WingOfGod“ getauft haben, ist sie mindestens seit Ende 2022 aktiv, mit Schwerpunkt auf Ländern wie Japan, Singapur, China, Hongkong, und andere asiatische Nationen.

Die Verteilungsmethoden sind derzeit unbekannt, aber die Dateinamen der extrahierten ausführbaren Dateien ähneln denen beliebter Software (z. B. flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe). ). Dies deutet darauf hin, dass sich die Malware wahrscheinlich über bösartige Software oder ähnliche Schemata verbreitet.

Bemerkenswert ist, dass aNotepad, eine kostenlose Online-Notizblock-Plattform, in diesem Zusammenhang missbraucht wird, um ein als Adobe-Tool getarntes Base64-codiertes .NET-Binärprogramm der Windows-Version der Schadsoftware zu hosten.

Da es sich bei aNotepad um einen legitimen Onlinedienst handelt, bleibt er von Sicherheitstools unentdeckt und trägt so zu einer diskreteren Infektionskette bei.

Wenn die Malware zum ersten Mal auf dem Computer des Opfers ausgeführt wird, ist es weniger wahrscheinlich, dass sie von Antiviren-Tools erkannt wird, da sie keine schädlichen Funktionen aufweist.

Allerdings enthält die Schadsoftware verschlüsselten Quellcode für einen Malware-Downloader, der in Bewegung kompiliert und ausgeführt wird.

Dieser Downloader ruft ein weiteres bösartiges .NET-Binärprogramm ab, das in Base64-codierter Form im Notepad gespeichert ist, was zum Laden einer DLL führt, die als Hintertür für WogRAT dient.

Grundbefehle von WogRAT

WogRAT sendet ein Basisprofil des infizierten Systems an den Command and Control (C2)-Server und empfängt Befehle zur Ausführung. Fünf Funktionen werden unterstützt:

Befehlsausführung
Dateidownload von einer angegebenen URL
Laden Sie eine bestimmte Datei auf C2 hoch
Warten Sie eine bestimmte Zeit (in Sekunden)
Beenden

Malware gibt es auch in der Linux-Variante

Die im ELF-Format angebotene Linux-Version von WogRAT weist viele Ähnlichkeiten mit der Windows-Variante auf. Der Unterschied besteht jedoch darin, dass Tiny Shell für Routing-Vorgänge und zusätzliche Verschlüsselung bei der Kommunikation mit C2 verwendet wird.

Tiny Shell ist eine Open-Source-Hintertür, die den Datenaustausch und die Befehlsausführung auf Linux-Systemen für verschiedene Bedrohungen erleichtert, darunter LightBasin, OldGremlin, UNC4540 und die nicht identifizierten Betreiber des Linux-Rootkits „Syslogk“.

Ein weiterer bemerkenswerter Unterschied besteht darin, dass Befehle in der Linux-Variante nicht über POST-Anfragen gesendet werden, sondern über eine Reverse-Shell ausgegeben werden, die auf einer bestimmten IP-Adresse und einem bestimmten Port erstellt wird.