WogRAT 同时针对 Windows 和 Linux

最近发现的恶意软件名为“WogRAT”，针对 Windows 和 Linux 系统。它利用名为“aNotepad”的在线记事本平台作为存储和提取恶意代码的隐蔽通道。

AhnLab 安全情报中心 (ASEC) 的研究人员将该恶意软件字符串命名为“WingOfGod”，据其称，该恶意软件字符串至少自 2022 年底以来一直活跃，重点关注日本、新加坡、中国、香港等国家/地区。和其他亚洲国家。

分发方法目前未知，但提取的可执行文件的文件名与流行软件的文件名相似（例如，flashsetup_LL3gjJ7.exe、WindowsApp.exe、WindowsTool.exe、BrowserFixup.exe、ChromeFixup.exe、HttpDownload.exe、ToolKit.exe ）。这表明恶意软件可能通过恶意软件或类似方案进行传播。

值得注意的是，aNotepad（一个免费的在线记事本平台）在这种情况下被滥用，以托管 Windows 版本恶意软件的 Base64 编码的 .NET 二进制程序，伪装成 Adobe 工具。

由于 aNotepad 是合法的在线服务，因此安全工具无法检测到它，从而形成了更加隐蔽的感染链。

当恶意软件最初在受害者的计算机上运行时，它不太可能被防病毒工具标记，因为它不表现出任何恶意功能。

然而，该恶意软件包含恶意软件下载器的加密源代码，该源代码是动态编译和执行的。

此下载程序会检索记事本中以 Base64 编码形式存储的另一个恶意 .NET 二进制程序，从而加载充当 WogRAT 后门的 DLL。

WogRAT 的基本命令

WogRAT 将受感染系统的基本配置文件发送到命令和控制 (C2) 服务器并接收要执行的命令。支持五种功能：

命令执行
从指定URL下载文件
上传指定文件到C2
等待指定时间（以秒为单位）
终止

恶意软件也有 Linux 变体

WogRAT 的 Linux 版本以 ELF 格式提供，与 Windows 版本有许多相似之处。然而，它的不同之处在于使用 Tiny Shell 进行路由操作，并在与 C2 的通信中进行额外的加密。

Tiny Shell 是一个开源后门，可促进 Linux 系统上的数据交换和命令执行，以应对各种威胁，包括 LightBasin、OldGremlin、UNC4540 以及 Linux rootkit“Syslogk”的身份不明的操作者。

另一个显着的区别是 Linux 变体中的命令不是通过 POST 请求发送，而是通过在特定 IP 地址和端口上创建的反向 shell 发出。