WogRAT riktar sig till både Windows och Linux
En nyligen upptäckt skadlig programvara, som heter "WogRAT", riktar sig till både Windows- och Linux-system. Den använder onlineanteckningsplattformen som kallas "aNotepad" som en hemlig kanal för att lagra och extrahera skadlig kod.
Enligt forskare från AhnLab Security Intelligence Center (ASEC), som har döpt skadlig programvara "WingOfGod", har den varit aktiv sedan åtminstone slutet av 2022, med fokus på länder som Japan, Singapore, Kina, Hong Kong, och andra asiatiska nationer.
Distributionsmetoderna är för närvarande okända, men filnamnen på de extraherade körbara filerna liknar de för populär programvara (t.ex. flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe ). Detta tyder på att skadlig programvara sannolikt sprids genom skadlig programvara eller liknande system.
Det är anmärkningsvärt att aNotepad, en gratis anteckningsblocksplattform online, missbrukas i detta sammanhang för att vara värd för ett base64-kodat .NET binärt program av Windows-versionen av skadlig programvara, förklädd som ett Adobe-verktyg.
Eftersom aNotepad är en legitim onlinetjänst förblir den oupptäckt av säkerhetsverktyg, vilket bidrar till en mer diskret infektionskedja.
När skadlig programvara från början körs på offrets dator är det mindre sannolikt att den flaggas av antivirusverktyg eftersom den inte uppvisar några skadliga funktioner.
Den skadliga programvaran innehåller dock krypterad källkod för en skadlig programvara, som kompileras och körs i rörelse.
Den här nedladdaren hämtar ett annat skadligt binärt .NET-program lagrat i base64-kodad form i Notepad, vilket resulterar i att en DLL som fungerar som bakdörr för WogRAT laddas.
WogRATs grundläggande kommandon
WogRAT skickar en grundläggande profil för det infekterade systemet till kommando- och kontrollservern (C2) och tar emot kommandon för exekvering. Fem funktioner stöds:
Kommandoexekvering
Filnedladdning från en angiven URL
Ladda upp en specificerad fil till C2
Vänta en viss tid (i sekunder)
Avsluta
Skadlig programvara finns också i Linux-variant
Linux-versionen av WogRAT, som erbjuds i ELF-format, delar många likheter med Windows-varianten. Det skiljer sig dock genom att använda Tiny Shell för routingoperationer och ytterligare kryptering i sin kommunikation med C2.
Tiny Shell är en bakdörr med öppen källkod som underlättar datautbyte och kommandoexekvering på Linux-system för olika hot, inklusive LightBasin, OldGremlin, UNC4540 och de oidentifierade operatörerna av Linux-rootkit "Syslogk".
En annan anmärkningsvärd skillnad är att kommandon i Linux-varianten inte skickas via POST-förfrågningar utan utfärdas genom ett omvänt skal skapat på en specifik IP-adress och port.
