WogRAT richt zich op zowel Windows als Linux

Een onlangs ontdekte kwaadaardige software, genaamd "WogRAT", richt zich op zowel Windows- als Linux-systemen. Het maakt gebruik van het online kladblokplatform genaamd "aNotepad" als een geheim kanaal voor het opslaan en extraheren van kwaadaardige code.

Volgens onderzoekers van het AhnLab Security Intelligence Center (ASEC), die de malwarereeks ‘WingOfGod’ hebben genoemd, is deze in ieder geval sinds eind 2022 actief, met een focus op landen als Japan, Singapore, China, Hong Kong, en andere Aziatische landen.

De distributiemethoden zijn momenteel onbekend, maar de bestandsnamen van de uitgepakte uitvoerbare bestanden lijken op die van populaire software (bijv. flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Dit suggereert dat de malware zich waarschijnlijk verspreidt via kwaadaardige software of soortgelijke programma's.

Het is opmerkelijk dat aNotepad, een gratis online kladblokplatform, in deze context wordt misbruikt om een base64-gecodeerd binair .NET-programma van de Windows-versie van de malware te hosten, vermomd als een Adobe-tool.

Omdat aNotepad een legitieme online dienst is, wordt deze niet opgemerkt door beveiligingshulpmiddelen, wat bijdraagt aan een discretere infectieketen.

Wanneer de malware voor het eerst op de computer van het slachtoffer draait, is de kans kleiner dat deze door antivirusprogramma's wordt opgemerkt, omdat deze geen schadelijke functies vertoont.

De kwaadaardige software bevat echter gecodeerde broncode voor een malware-downloader, die in beweging wordt gecompileerd en uitgevoerd.

Deze downloader haalt een ander kwaadaardig binair .NET-programma op dat in base64-gecodeerde vorm is opgeslagen in Kladblok, wat resulteert in het laden van een DLL die dient als achterdeur voor WogRAT.

WogRAT's basisopdrachten

WogRAT stuurt een basisprofiel van het geïnfecteerde systeem naar de command and control (C2) server en ontvangt opdrachten voor uitvoering. Er worden vijf functies ondersteund:

Uitvoering van opdrachten
Bestand downloaden vanaf een opgegeven URL
Upload een opgegeven bestand naar C2
Wacht een bepaalde tijd (in seconden)
Beëindigen

Malware komt ook in de Linux-variant

De Linux-versie van WogRAT, aangeboden in ELF-formaat, vertoont veel overeenkomsten met de Windows-variant. Het verschilt echter doordat Tiny Shell wordt gebruikt voor routeringsbewerkingen en extra codering in de communicatie met C2.

Tiny Shell is een open-source achterdeur die gegevensuitwisseling en opdrachtuitvoering op Linux-systemen mogelijk maakt voor verschillende bedreigingen, waaronder LightBasin, OldGremlin, UNC4540 en de ongeïdentificeerde operators van de Linux-rootkit "Syslogk".

Een ander opmerkelijk verschil is dat opdrachten in de Linux-variant niet via POST-verzoeken worden verzonden, maar worden uitgegeven via een omgekeerde shell die is gemaakt op een specifiek IP-adres en poort.