WogRAT retter seg mot både Windows og Linux

En nylig oppdaget ondsinnet programvare, kalt "WogRAT", er rettet mot både Windows- og Linux-systemer. Den bruker den elektroniske notisblokkplattformen kalt "aNotepad" som en skjult kanal for lagring og utvinning av ondsinnet kode.

Ifølge forskere fra AhnLab Security Intelligence Center (ASEC), som har kalt skadevarestrengen "WingOfGod", har den vært aktiv siden slutten av 2022, med fokus på land som Japan, Singapore, Kina, Hong Kong, og andre asiatiske nasjoner.

Distribusjonsmetodene er foreløpig ukjente, men filnavnene til de utpakkede kjørbare filene ligner på populær programvare (f.eks. flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Dette antyder at skadelig programvare sannsynligvis sprer seg gjennom skadelig programvare eller lignende ordninger.

Det er bemerkelsesverdig at aNotepad, en gratis nettbasert notatblokkplattform, misbrukes i denne sammenhengen til å være vert for et base64-kodet .NET binærprogram av Windows-versjonen av skadelig programvare, forkledd som et Adobe-verktøy.

Siden aNotepad er en legitim nettbasert tjeneste, blir den uoppdaget av sikkerhetsverktøy, noe som bidrar til en mer diskret infeksjonskjede.

Når skadelig programvare først kjører på offerets maskin, er det mindre sannsynlig at den blir flagget av antivirusverktøy da den ikke viser noen skadelige funksjoner.

Den ondsinnede programvaren inneholder imidlertid kryptert kildekode for en malware-nedlaster, som kompileres og kjøres i bevegelse.

Denne nedlasteren henter et annet ondsinnet .NET-binærprogram som er lagret i base64-kodet form i Notisblokk, noe som resulterer i lasting av en DLL som fungerer som bakdør for WogRAT.

WogRATs grunnleggende kommandoer

WogRAT sender en grunnleggende profil av det infiserte systemet til kommando- og kontrollserveren (C2) og mottar kommandoer for utførelse. Fem funksjoner støttes:

Kommandoutførelse
Filnedlasting fra en spesifisert URL
Last opp en spesifisert fil til C2
Vent på et spesifisert tidspunkt (i sekunder)
Terminere

Skadelig programvare kommer også i Linux-varianten

Linux-versjonen av WogRAT, som tilbys i ELF-format, deler mange likheter med Windows-varianten. Det skiller seg imidlertid ut ved å bruke Tiny Shell for rutingoperasjoner og ekstra kryptering i kommunikasjonen med C2.

Tiny Shell er en åpen kildekode bakdør som letter datautveksling og kommandokjøring på Linux-systemer for ulike trusler, inkludert LightBasin, OldGremlin, UNC4540 og de uidentifiserte operatørene av Linux-rootsettet "Syslogk."

En annen bemerkelsesverdig forskjell er at kommandoer i Linux-varianten ikke sendes via POST-forespørsler, men utstedes gjennom et omvendt skall opprettet på en spesifikk IP-adresse og port.