Το WogRAT στοχεύει τόσο στα Windows όσο και στο Linux

Ένα κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα, με το όνομα "WogRAT", στοχεύει τόσο σε συστήματα Windows όσο και σε συστήματα Linux. Χρησιμοποιεί την ηλεκτρονική πλατφόρμα σημειωματάριων που ονομάζεται "aNotepad" ως κρυφό κανάλι για την αποθήκευση και την εξαγωγή κακόβουλου κώδικα.

Σύμφωνα με ερευνητές από το AhnLab Security Intelligence Center (ASEC), οι οποίοι ονόμασαν τη συμβολοσειρά κακόβουλου λογισμικού "WingOfGod", είναι ενεργή τουλάχιστον από τα τέλη του 2022, με έμφαση σε χώρες όπως η Ιαπωνία, η Σιγκαπούρη, η Κίνα, το Χονγκ Κονγκ, και άλλα ασιατικά έθνη.

Οι μέθοδοι διανομής είναι προς το παρόν άγνωστες, αλλά τα ονόματα των αρχείων των εξαχθέντων εκτελέσιμων αρχείων μοιάζουν με εκείνα δημοφιλούς λογισμικού (π.χ. flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Αυτό υποδηλώνει ότι το κακόβουλο λογισμικό εξαπλώνεται πιθανώς μέσω κακόβουλου λογισμικού ή παρόμοιων σχημάτων.

Αξίζει να σημειωθεί ότι το aNotepad, μια δωρεάν διαδικτυακή πλατφόρμα σημειωματάριων, γίνεται κατάχρηση σε αυτό το πλαίσιο για να φιλοξενήσει ένα δυαδικό πρόγραμμα .NET με κωδικοποίηση base64 της έκδοσης του κακόβουλου λογισμικού για Windows, μεταμφιεσμένο ως εργαλείο Adobe.

Δεδομένου ότι το aNotepad είναι μια νόμιμη διαδικτυακή υπηρεσία, δεν εντοπίζεται από τα εργαλεία ασφαλείας, συμβάλλοντας σε μια πιο διακριτική αλυσίδα μόλυνσης.

Όταν το κακόβουλο λογισμικό εκτελείται αρχικά στον υπολογιστή του θύματος, είναι λιγότερο πιθανό να επισημανθεί από εργαλεία προστασίας από ιούς, καθώς δεν εμφανίζει κακόβουλες λειτουργίες.

Ωστόσο, το κακόβουλο λογισμικό περιέχει κρυπτογραφημένο πηγαίο κώδικα για ένα πρόγραμμα λήψης κακόβουλου λογισμικού, το οποίο μεταγλωττίζεται και εκτελείται σε κίνηση.

Αυτό το πρόγραμμα λήψης ανακτά ένα άλλο κακόβουλο δυαδικό πρόγραμμα .NET που είναι αποθηκευμένο σε μορφή κωδικοποιημένης βάσης 64 στο Σημειωματάριο, με αποτέλεσμα τη φόρτωση ενός DLL που χρησιμεύει ως κερκόπορτα για το WogRAT.

Βασικές εντολές του WogRAT

Το WogRAT στέλνει ένα βασικό προφίλ του μολυσμένου συστήματος στον διακομιστή εντολών και ελέγχου (C2) και λαμβάνει εντολές για εκτέλεση. Υποστηρίζονται πέντε λειτουργίες:

Εκτέλεση εντολών
Λήψη αρχείου από μια καθορισμένη διεύθυνση URL
Μεταφορτώστε ένα καθορισμένο αρχείο στο C2
Περιμένετε για έναν καθορισμένο χρόνο (σε δευτερόλεπτα)
Περατώ

Το κακόβουλο λογισμικό έρχεται και σε παραλλαγή Linux

Η έκδοση Linux του WogRAT, που προσφέρεται σε μορφή ELF, έχει πολλές ομοιότητες με την παραλλαγή των Windows. Ωστόσο, διαφέρει χρησιμοποιώντας το Tiny Shell για λειτουργίες δρομολόγησης και πρόσθετη κρυπτογράφηση στην επικοινωνία του με το C2.

Το Tiny Shell είναι ένα backdoor ανοιχτού κώδικα που διευκολύνει την ανταλλαγή δεδομένων και την εκτέλεση εντολών σε συστήματα Linux για διάφορες απειλές, συμπεριλαμβανομένων των LightBasin, OldGremlin, UNC4540 και των αγνώστων χειριστών του rootkit Linux "Syslogk".

Μια άλλη αξιοσημείωτη διαφορά είναι ότι οι εντολές στην παραλλαγή Linux δεν αποστέλλονται μέσω αιτημάτων POST αλλά εκδίδονται μέσω ενός αντίστροφου κελύφους που δημιουργήθηκε σε μια συγκεκριμένη διεύθυνση IP και θύρα.