WogRAT 同時針對 Windows 和 Linux

最近發現的惡意軟體名為“WogRAT”，針對 Windows 和 Linux 系統。它利用名為“aNotepad”的線上記事本平台作為儲存和提取惡意程式碼的隱藏通道。

AhnLab 安全情報中心(ASEC) 的研究人員將該惡意軟體字串命名為“WingOfGod”，據其稱，該惡意軟體字串至少自2022 年底以來一直活躍，重點關注日本、新加坡、中國、香港等國家/地區。和其他亞洲國家。

分發方法目前未知，但提取的可執行檔的檔名與流行軟體的檔名相似（例如，flashsetup_LL3gjJ7.exe、WindowsApp.exe、WindowsTool.exe、BrowserFixup.exe、ChromeFixup.exe、HttpDownload.exe、ToolKit. exe ）。這表示惡意軟體可能透過惡意軟體或類似方案進行傳播。

值得注意的是，aNotepad（一個免費的線上記事本平台）在這種情況下被濫用，以託管 Windows 版本惡意軟體的 Base64 編碼的 .NET 二進位程序，偽裝成 Adobe 工具。

由於 aNotepad 是合法的線上服務，因此安全工具無法檢測到它，從而形成了更隱密的感染鏈。

當惡意軟體最初在受害者的電腦上運行時，它不太可能被防毒工具標記，因為它不表現出任何惡意功能。

然而，該惡意軟體包含惡意軟體下載器的加密原始程式碼，該程式碼是動態編譯和執行的。

此下載程式會擷取記事本中以 Base64 編碼形式儲存的另一個惡意 .NET 二進位程序，從而載入充當 WogRAT 後門的 DLL。

WogRAT 的基本指令

WogRAT 將受感染系統的基本設定檔傳送到命令和控制 (C2) 伺服器並接收要執行的命令。支援五種功能：

命令執行
從指定URL下載文件
上傳指定文件到C2
等待指定時間（以秒為單位）
終止

惡意軟體也有 Linux 變體

WogRAT 的 Linux 版本以 ELF 格式提供，與 Windows 版本有許多相似之處。然而，它的不同之處在於使用 Tiny Shell 進行路由操作，並在與 C2 的通訊中進行額外的加密。

Tiny Shell 是一個開源後門，可促進 Linux 系統上的資料交換和命令執行，以應對各種威脅，包括 LightBasin、OldGremlin、UNC4540 以及 Linux rootkit「Syslogk」的身份不明的操作者。

另一個顯著的差異是 Linux 變體中的命令不是透過 POST 請求發送，而是透過在特定 IP 位址和連接埠上建立的反向 shell 發出。