WogRAT は Windows と Linux の両方をターゲットにします

最近発見された「WogRAT」という名前の悪意のあるソフトウェアは、Windows と Linux の両方のシステムを標的としています。 「aNotepad」と呼ばれるオンライン メモ帳プラットフォームを、悪意のあるコードを保存および抽出するための秘密チャネルとして利用します。

このマルウェア文字列を「WingOfGod」と名付けた AhnLab Security Intelligence Center (ASEC) の研究者によると、このマルウェアは少なくとも 2022 年末から、日本、シンガポール、中国、香港、そして他のアジア諸国。

配布方法は現時点では不明ですが、抽出された実行可能ファイルのファイル名は一般的なソフトウェアのファイル名に似ています (例: flashsetup_LL3gjJ7.exe、WindowsApp.exe、WindowsTool.exe、BrowserFixup.exe、ChromeFixup.exe、HttpDownload.exe、ToolKit.exe)。 ）。これは、マルウェアが悪意のあるソフトウェアまたは同様のスキームを通じて拡散する可能性があることを示唆しています。

無料のオンライン メモ帳プラットフォームである aNotepad が、この文脈で悪用され、Adobe ツールを装った Windows バージョンのマルウェアの Base64 でエンコードされた .NET バイナリ プログラムをホストしていることは注目に値します。

aNotepad は正規のオンライン サービスであるため、セキュリティ ツールによって検出されず、より目立たない感染チェーンに貢献します。

マルウェアが最初に被害者のマシン上で実行されるとき、悪意のある機能を示さないため、ウイルス対策ツールによってフラグが立てられる可能性は低くなります。

ただし、悪意のあるソフトウェアには、マルウェア ダウンローダーの暗号化されたソース コードが含まれており、動作中にコンパイルおよび実行されます。

このダウンローダーは、メモ帳に Base64 エンコード形式で保存されている別の悪意のある .NET バイナリ プログラムを取得し、その結果、WogRAT のバックドアとして機能する DLL が読み込まれます。

WogRAT の基本コマンド

WogRAT は、感染したシステムの基本プロファイルをコマンド アンド コントロール (C2) サーバーに送信し、実行用のコマンドを受け取ります。次の 5 つの関数がサポートされています。

コマンドの実行
指定したURLからのファイルダウンロード
指定したファイルをC2にアップロードします
指定した時間（秒単位）待つ
終了

マルウェアには Linux の亜種も存在する

ELF 形式で提供される WogRAT の Linux バージョンは、Windows バージョンと多くの類似点を共有しています。ただし、ルーティング操作に Tiny Shell を使用し、C2 との通信で追加の暗号化を使用する点が異なります。

Tiny Shell は、LightBasin、OldGremlin、UNC4540、Linux ルートキット「Syslogk」の正体不明のオペレーターなど、さまざまな脅威に対する Linux システム上でのデータ交換とコマンド実行を容易にするオープンソースのバックドアです。

もう 1 つの注目すべき違いは、Linux バリアントのコマンドは POST リクエストを介して送信されず、特定の IP アドレスとポートで作成されたリバース シェルを介して発行されることです。