Нов зловреден софтуер, наречен „WogRAT“, е насочен към Windows и Linux и използва онлайн платформа за бележници, наречена „aNotepad“, като таен канал за съхраняване и извличане на зловреден код.
Според изследователите от AhnLab Security Intelligence Center (ASEC), които са дали името на зловредния софтуер по низ, гласящ „WingOfGod“, той е активен поне от края на 2022 г., като е насочен към Япония, Сингапур, Китай, Хонконг и други азиатски държави.
Методите на разпространение не са известни, но имената на взетите в извадката изпълними файлове приличат на популярен софтуер (flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), така че вероятно се разпространяват чрез злонамерен софтуер или подобни схеми.
Трябва да се отбележи злоупотребата с aNotepad, безплатна платформа за онлайн бележници, за разполагане на базисно кодирана .NET двоична програма на версията на зловредния софтуер за Windows, маскирана като инструмент на Adobe.
Тъй като е легитимна онлайн услуга, aNotepad не е блокирана или третирана подозрително от инструментите за сигурност, което спомага за по-невидимата верига на заразяване.
Когато зловредният софтуер се изпълнява за първи път на машината на жертвата, е малко вероятно да бъде маркиран от AV инструментите, тъй като не разполага с никакви зловредни функции.
Въпреки това зловредният софтуер съдържа криптиран изходен код за програма за изтегляне на зловреден софтуер, който се компилира и изпълнява в движение.
Този даунлоудър извлича още една зловредна бинарна програма .NET, съхранена в base64 кодиран вид вNotepad, в резултат на което се зарежда DLL, който е задната врата на WogRAT.
Криптирани низове, извлечени от aNotepad (ASEC)
WogRAT изпраща основен профил на заразената система на сървъра за командване и контрол (C2) и получава команди за изпълнение.
Поддържат се пет функции:
Качване на FTP файл (ASEC)
Версията на WogRAT за Linux, която се предлага под формата на ELF, има много сходства с варианта за Windows. Тя обаче се отличава с използването на Tiny Shell за операции по маршрутизиране и допълнително криптиране при комуникацията си с C2.
TinySHell е задна врата с отворен код, която улеснява обмена на данни и изпълнението на команди в Linux системи за множество заплахи, включително LightBasin, OldGremlin, UNC4540 и неидентифицираните оператори на Linux rootkit „Syslogk“.
Друга забележителна разлика е, че командите при варианта за Linux не се изпращат чрез POST заявки, а вместо това се издават чрез обратна обвивка, създадена на даден IP адрес и порт.
Анализаторите на ASEC не са успели да определят как тези ELF двоични файлове се разпространяват до жертвите, докато вариантът за Linux не злоупотребява с aNotepad за хостване и извличане на зловреден код.
Пълният списък на индикаторите за компрометиране (IoC), свързани с WogRAT, може да бъде намерен в края на доклада на ASEC.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.