WogRAT cible à la fois Windows et Linux

Un logiciel malveillant récemment découvert, nommé « WogRAT », cible à la fois les systèmes Windows et Linux. Il utilise la plateforme de bloc-notes en ligne appelée « aNotepad » comme canal secret pour stocker et extraire du code malveillant.

Selon les chercheurs de l'AhnLab Security Intelligence Center (ASEC), qui ont nommé la chaîne de malware « WingOfGod », celle-ci est active depuis au moins fin 2022, en se concentrant sur des pays comme le Japon, Singapour, la Chine, Hong Kong, et d'autres pays asiatiques.

Les méthodes de distribution sont actuellement inconnues, mais les noms de fichiers des fichiers exécutables extraits ressemblent à ceux de logiciels populaires (par exemple, flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Cela suggère que le logiciel malveillant se propage probablement via des logiciels malveillants ou des programmes similaires.

Il convient de noter qu'aNotepad, une plateforme de bloc-notes en ligne gratuite, est utilisée à mauvais escient dans ce contexte pour héberger un programme binaire .NET codé en base64 de la version Windows du malware, déguisé en outil Adobe.

Étant donné qu'aNotepad est un service en ligne légitime, il n'est pas détecté par les outils de sécurité, contribuant ainsi à une chaîne d'infection plus discrète.

Lorsque le logiciel malveillant s'exécute initialement sur la machine de la victime, il est moins susceptible d'être signalé par les outils antivirus car il ne présente aucune fonction malveillante.

Cependant, le logiciel malveillant contient le code source crypté d'un téléchargeur de malware, qui est compilé et exécuté en mouvement.

Ce téléchargeur récupère un autre programme binaire .NET malveillant stocké sous forme codée en base64 dans le Bloc-notes, entraînant le chargement d'une DLL qui sert de porte dérobée pour WogRAT.

Commandes de base de WogRAT

WogRAT envoie un profil de base du système infecté au serveur de commande et de contrôle (C2) et reçoit les commandes à exécuter. Cinq fonctions sont prises en charge :

Exécution des commandes
Téléchargement de fichier à partir d'une URL spécifiée
Télécharger un fichier spécifié sur C2
Attendez une durée spécifiée (en secondes)
Mettre fin

Les logiciels malveillants sont également disponibles dans la variante Linux

La version Linux de WogRAT, proposée au format ELF, partage de nombreuses similitudes avec la variante Windows. Cependant, il diffère en utilisant Tiny Shell pour les opérations de routage et un cryptage supplémentaire dans sa communication avec C2.

Tiny Shell est une porte dérobée open source facilitant l'échange de données et l'exécution de commandes sur les systèmes Linux contre diverses menaces, notamment LightBasin, OldGremlin, UNC4540 et les opérateurs non identifiés du rootkit Linux « Syslogk ».

Une autre différence notable est que les commandes de la variante Linux ne sont pas envoyées via des requêtes POST mais sont émises via un shell inversé créé sur une adresse IP et un port spécifiques.