WogRAT ориентирован как на Windows, так и на Linux
Недавно обнаруженное вредоносное программное обеспечение под названием «WogRAT» нацелено как на системы Windows, так и на Linux. Он использует платформу онлайн-блокнотов под названием «aNotepad» в качестве скрытого канала для хранения и извлечения вредоносного кода.
По словам исследователей из Центра безопасности и аналитики AhnLab (ASEC), которые назвали вредоносную строку «WingOfGod», она активна как минимум с конца 2022 года, с акцентом на такие страны, как Япония, Сингапур, Китай, Гонконг и другие страны. и других азиатских стран.
Способы распространения на данный момент неизвестны, но имена извлеченных исполняемых файлов напоминают имена популярных программ (например, flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe). ). Это говорит о том, что вредоносное ПО, скорее всего, распространяется через вредоносное программное обеспечение или аналогичные схемы.
Примечательно, что aNotepad, бесплатная онлайн-платформа для блокнотов, используется в этом контексте для размещения двоичной программы .NET в кодировке Base64 версии вредоносного ПО для Windows, замаскированной под инструмент Adobe.
Поскольку aNotepad является законным онлайн-сервисом, он остается незамеченным инструментами безопасности, что способствует более скрытной цепочке заражения.
Когда вредоносное ПО изначально запускается на компьютере жертвы, оно с меньшей вероятностью будет отмечено антивирусными инструментами, поскольку оно не выполняет никаких вредоносных функций.
Однако вредоносное ПО содержит зашифрованный исходный код загрузчика вредоносного ПО, который компилируется и выполняется в движении.
Этот загрузчик извлекает другую вредоносную двоичную программу .NET, хранящуюся в блокноте в формате Base64, в результате чего загружается DLL, которая служит бэкдором для WogRAT.
Основные команды WogRAT
WogRAT отправляет базовый профиль зараженной системы на сервер управления (C2) и получает команды для выполнения. Поддерживаются пять функций:
Выполнение команды
Загрузка файла с указанного URL
Загрузите указанный файл в C2
Подождите указанное время (в секундах)
Прекратить
Вредоносное ПО также присутствует в варианте Linux
Версия WogRAT для Linux, предлагаемая в формате ELF, имеет много общего с вариантом для Windows. Однако он отличается использованием Tiny Shell для операций маршрутизации и дополнительным шифрованием при взаимодействии с C2.
Tiny Shell — это бэкдор с открытым исходным кодом, облегчающий обмен данными и выполнение команд в системах Linux для защиты от различных угроз, включая LightBasin, OldGremlin, UNC4540 и неопознанных операторов руткита Linux «Syslogk».
Еще одно заметное отличие заключается в том, что команды в варианте Linux не отправляются через запросы POST, а выдаются через обратную оболочку, созданную для определенного IP-адреса и порта.
