„WogRAT“ skirta tiek „Windows“, tiek „Linux“.

Neseniai aptikta kenkėjiška programinė įranga, pavadinta „WogRAT“, skirta tiek „Windows“, tiek „Linux“ sistemoms. Jis naudoja internetinę užrašų knygelės platformą, vadinamą „aNotepad“, kaip slaptą kanalą kenkėjiškam kodui saugoti ir išgauti.

Pasak mokslininkų iš AhnLab Security Intelligence Center (ASEC), kurie kenkėjiškų programų eilutę pavadino „WingOfGod“, ji buvo aktyvi mažiausiai nuo 2022 m. pabaigos, daugiausia dėmesio skiriant tokioms šalims kaip Japonija, Singapūras, Kinija, Honkongas, ir kitos Azijos tautos.

Platinimo metodai šiuo metu nežinomi, tačiau išskleisti vykdomųjų failų pavadinimus primena populiarios programinės įrangos (pvz., flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe). ). Tai rodo, kad kenkėjiška programa greičiausiai plinta per kenkėjišką programinę įrangą ar panašias schemas.

Pastebėtina, kad aNotepad, nemokama internetinė bloknotų platforma, šiame kontekste yra piktnaudžiaujama siekiant priglobti „Base64“ koduotą .NET dvejetainę kenkėjiškos programos „Windows“ versijos programą, užmaskuotą kaip „Adobe“ įrankis.

Kadangi aNotepad yra teisėta internetinė paslauga, saugos įrankiai jos neaptinka ir prisideda prie diskretiškesnės infekcijos grandinės.

Kai kenkėjiška programa iš pradžių paleidžiama aukos kompiuteryje, mažesnė tikimybė, kad ją pažymės antivirusiniai įrankiai, nes ji nerodo jokių kenkėjiškų funkcijų.

Tačiau kenkėjiškoje programinėje įrangoje yra užšifruotas kenkėjiškų programų atsisiuntimo programos šaltinio kodas, kuris sukompiliuojamas ir vykdomas judant.

Ši parsisiuntimo programa nuskaito kitą kenkėjišką .NET dvejetainę programą, saugomą base64 koduota forma Notepad, todėl įkeliamas DLL, kuris naudojamas kaip WogRAT užpakalinės durys.

Pagrindinės WogRAT komandos

WogRAT siunčia pagrindinį užkrėstos sistemos profilį į komandų ir valdymo (C2) serverį ir gauna komandas vykdyti. Palaikomos penkios funkcijos:

Komandos vykdymas
Failo atsisiuntimas iš nurodyto URL
Įkelkite nurodytą failą į C2
Palaukite nurodytą laiką (sekundėmis)
Nutraukti

Kenkėjiškos programos taip pat yra „Linux“ variante

„Linux“ WogRAT versija, siūloma ELF formatu, turi daug panašumų su „Windows“ variantu. Tačiau jis skiriasi tuo, kad „Tiny Shell“ naudojamas maršruto parinkimo operacijoms ir papildomai šifruojant ryšį su C2.

„Tiny Shell“ yra atvirojo kodo užpakalinės durys, palengvinančios duomenų mainus ir komandų vykdymą „Linux“ sistemose esant įvairioms grėsmėms, įskaitant „LightBasin“, „OldGremlin“, UNC4540 ir neatpažintus „Linux“ šakninio rinkinio „Syslogk“ operatorius.

Kitas pastebimas skirtumas yra tas, kad „Linux“ varianto komandos nesiunčiamos per POST užklausas, o išduodamos per atvirkštinį apvalkalą, sukurtą konkrečiame IP adresu ir prievade.