A WogRAT Windowst és Linuxot is céloz

Egy nemrégiben felfedezett rosszindulatú szoftver, a "WogRAT", Windows és Linux rendszereket is céloz. Az "aNotepad" nevű online jegyzettömb platformot használja rejtett csatornaként a rosszindulatú kódok tárolására és kinyerésére.

Az AhnLab Security Intelligence Center (ASEC) kutatói szerint, akik a rosszindulatú programsorozatot "WingOfGod"-nak nevezték el, legalább 2022 vége óta aktív, olyan országokra összpontosítva, mint Japán, Szingapúr, Kína, Hong Kong, és más ázsiai nemzetek.

A terjesztési módszerek jelenleg nem ismertek, de a kicsomagolt futtatható fájlok fájlnevei hasonlítanak a népszerű szoftverek fájlneveire (pl. flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Ez arra utal, hogy a rosszindulatú program valószínűleg rosszindulatú szoftvereken vagy hasonló sémákon keresztül terjed.

Figyelemre méltó, hogy ebben az összefüggésben az ingyenes online jegyzettömb platformot, aNotepad-et visszaélnek a kártevő Windows-verziójának base64-kódolású .NET bináris programjával, amelyet Adobe-eszköznek álcáznak.

Mivel az aNotepad legitim online szolgáltatás, a biztonsági eszközök nem veszik észre, hozzájárulva egy diszkrétebb fertőzési lánchoz.

Amikor a rosszindulatú program kezdetben fut az áldozat gépén, kevésbé valószínű, hogy a víruskereső eszközök megjelölik, mivel nem mutat semmilyen rosszindulatú funkciót.

A rosszindulatú szoftver azonban titkosított forráskódot tartalmaz egy rosszindulatú program letöltő számára, amely lefordításra és végrehajtásra kerül.

Ez a letöltő letölt egy másik rosszindulatú .NET bináris programot, amely base64 kódolású formában van tárolva a Jegyzettömbben, ami egy DLL betöltését eredményezi, amely a WogRAT hátsó ajtójaként szolgál.

A WogRAT alapvető parancsai

A WogRAT elküldi a fertőzött rendszer alapprofilját a parancs- és vezérlőkiszolgálónak (C2), és parancsokat kap a végrehajtáshoz. Öt funkció támogatott:

Parancs végrehajtás
Fájl letöltése egy megadott URL-ről
Töltsön fel egy megadott fájlt a C2-be
Várjon egy meghatározott ideig (másodpercben)
Leállítás

A rosszindulatú programok a Linux változatban is megjelennek

A WogRAT linuxos verziója, amelyet ELF formátumban kínálnak, sok hasonlóságot mutat a Windows változattal. Ez azonban különbözik attól, hogy Tiny Shell-t használ az útválasztási műveletekhez és további titkosítást a C2-vel folytatott kommunikáció során.

A Tiny Shell egy nyílt forráskódú hátsó ajtó, amely megkönnyíti az adatcserét és a parancsok végrehajtását Linux rendszereken különféle fenyegetésekkel szemben, beleértve a LightBasin, OldGremlin, UNC4540 és a Linux rootkit "Syslogk" azonosítatlan operátorait.

Egy másik figyelemre méltó különbség, hogy a Linux-változatban a parancsok nem POST-kéréseken keresztül kerülnek elküldésre, hanem egy adott IP-címen és porton létrehozott fordított shell-en keresztül.