Un nouveau malware baptisé « WogRAT » cible à la fois Windows et Linux dans des attaques utilisant une plate-forme de bloc-notes en ligne nommée « aNotepad » comme canal secret pour stocker et récupérer du code malveillant.
Selon les chercheurs du AhnLab Security Intelligence Center (ASEC), qui ont nommé le malware à partir d’une chaîne de caractères « WingOfGod », il est actif depuis au moins la fin de 2022, ciblant le Japon, Singapour, la Chine, Hong Kong et d’autres pays asiatiques.
Les méthodes de distribution sont inconnues, mais les noms des exécutables échantillonnés ressemblent à des logiciels populaires (flashsetup_LL3gjJ7.exe, application de fenêtre.exe, tabouret de fenêtre.exe, mise à jour du navigateur.exe, ChromeFixup.exe, téléchargement HTTP.exe, boîte à outils.exe), ils sont donc probablement distribués via des programmes malveillants ou similaires.
Abuser des blocs-notes en ligne
Il convient de noter l’abus d’aNotepad, une plate-forme de bloc-notes en ligne gratuite, pour héberger un binaire.NET codé en base64 de la version Windows du logiciel malveillant, déguisé en outil Adobe.
En tant que service en ligne légitime, aNotepad n’est pas bloqué ou traité de manière suspecte par les outils de sécurité, ce qui contribue à rendre la chaîne d’infection plus furtive.
Lorsque le logiciel malveillant est exécuté pour la première fois sur la machine de la victime, il est peu probable qu’il soit signalé par les outils antivirus car il ne comporte aucune fonctionnalité malveillante.
Cependant, le logiciel malveillant contient un code source crypté pour un téléchargeur de logiciels malveillants qui est compilé et exécuté à la volée.
Ce téléchargeur récupère un autre binaire. NET malveillant stocké sous forme encodée en base64 sur aNotepad, ce qui entraîne le chargement d’une DLL, qui est la porte dérobée WogRAT.
WogRAT envoie un profil de base du système infecté au serveur de commande et de contrôle (C2) et reçoit des commandes pour exécution.
Il y a cinq fonctions prises en charge:
- Exécuter une commande
- Télécharger le fichier à partir de l’URL spécifiée
- Télécharger le fichier spécifié vers C2
- Attendre un temps spécifié (en secondes)
- Terminer
Version pour Linux
La version Linux de WogRAT, qui se présente sous forme d’ELFE, partage de nombreuses similitudes avec la variante Windows. Cependant, il se distingue en utilisant un petit Shell pour les opérations de routage et un cryptage supplémentaire dans sa communication avec le C2.
TinySHell est une porte dérobée open source qui facilite l’échange de données et l’exécution de commandes sur les systèmes Linux pour plusieurs acteurs de la menace, y compris LightBasin, OldGremlin, UNC4540 et les opérateurs non identifiés du rootkit Linux ‘Syslogk.’
Une autre différence notable est que les commandes sur la variante Linux ne sont pas envoyées via des requêtes POST mais sont plutôt émises via un shell inversé créé sur une adresse IP et un port donnés.
Les analystes de l’ASEC n’ont pas été en mesure de déterminer comment ces binaires ELF sont distribués aux victimes, alors que la variante Linux n’abuse pas d’aNotepad pour héberger et récupérer du code malveillant.
La liste complète des indicateurs de compromission (IOC) relatifs à WogRAT se trouve au bas du rapport de l’Asic.