WogRAT celuje zarówno w Windows, jak i Linux

Niedawno wykryte złośliwe oprogramowanie o nazwie „WogRAT” atakuje zarówno systemy Windows, jak i Linux. Wykorzystuje internetową platformę notatników o nazwie „aNotepad” jako ukryty kanał do przechowywania i wydobywania złośliwego kodu.

Według badaczy z AhnLab Security Intelligence Center (ASEC), którzy nadali ciągowi szkodliwego oprogramowania nazwę „WingOfGod”, jest ono aktywne co najmniej od końca 2022 r., ze szczególnym uwzględnieniem takich krajów jak Japonia, Singapur, Chiny, Hongkong, i innych narodów azjatyckich.

Metody dystrybucji są obecnie nieznane, ale nazwy wyodrębnionych plików wykonywalnych przypominają nazwy popularnego oprogramowania (np. flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Sugeruje to, że złośliwe oprogramowanie prawdopodobnie rozprzestrzenia się za pośrednictwem złośliwego oprogramowania lub podobnych schematów.

Warto zauważyć, że aNotepad, bezpłatna platforma notatników online, jest wykorzystywana w tym kontekście do hostowania binarnego programu .NET zakodowanego w standardzie Base64, zawierającego wersję szkodliwego oprogramowania dla systemu Windows, udającą narzędzie Adobe.

Ponieważ Notatnik jest legalną usługą online, pozostaje niewykryty przez narzędzia bezpieczeństwa, przyczyniając się do bardziej dyskretnego łańcucha infekcji.

Kiedy złośliwe oprogramowanie początkowo działa na komputerze ofiary, jest mniej prawdopodobne, że zostanie oznaczone przez narzędzia antywirusowe, ponieważ nie wykazuje żadnych szkodliwych funkcji.

Jednak złośliwe oprogramowanie zawiera zaszyfrowany kod źródłowy narzędzia do pobierania złośliwego oprogramowania, który jest kompilowany i wykonywany w ruchu.

Ten moduł pobierania pobiera inny złośliwy program binarny .NET przechowywany w Notatniku w formie zakodowanej w formacie base64, co powoduje załadowanie biblioteki DLL, która służy jako backdoor dla WogRAT.

Podstawowe polecenia WogRAT

WogRAT wysyła podstawowy profil zainfekowanego systemu do serwera dowodzenia i kontroli (C2) i otrzymuje polecenia do wykonania. Obsługiwanych jest pięć funkcji:

Wykonanie polecenia
Pobieranie pliku z określonego adresu URL
Prześlij określony plik do C2
Poczekaj określony czas (w sekundach)
Zakończyć

Złośliwe oprogramowanie jest również dostępne w wersji dla systemu Linux

Wersja Linux WogRAT, oferowana w formacie ELF, ma wiele podobieństw z wersją Windows. Różni się jednak tym, że wykorzystuje Tiny Shell do operacji routingu i dodatkowego szyfrowania w swojej komunikacji z C2.

Tiny Shell to backdoor typu open source ułatwiający wymianę danych i wykonywanie poleceń w systemach Linux w przypadku różnych zagrożeń, w tym LightBasin, OldGremlin, UNC4540 i niezidentyfikowanych operatorów rootkita Linux „Syslogk”.

Kolejną zauważalną różnicą jest to, że polecenia w wariancie Linux nie są wysyłane za pośrednictwem żądań POST, ale wydawane poprzez powłokę odwrotną utworzoną na określonym adresie IP i porcie.