近期，ASEC 網(wǎng)絡(luò)安全分析師發(fā)現(xiàn)惡意軟件 WogRAT 正在通過記事本 Notepad 服務(wù)攻擊 Windows 和 Linux 系統(tǒng)。

安全研究人員表示，威脅攻擊者通過使用 WogRAT 惡意軟件，借助記事本 Notepad 工具，來利用系統(tǒng)資源和用戶權(quán)限，從而獲取未經(jīng)授權(quán)的訪問權(quán)限并執(zhí)行惡意代碼。

WogRAT 惡意軟件利用 Notepad 服務(wù)

研究人員發(fā)現(xiàn)威脅攻擊者通過 Notepad 在線記事本服務(wù)傳播后門木馬，因惡意軟件背后的運(yùn)營商使用 "WingOfGod "字符串而被業(yè)內(nèi)命名為 "WogRAT"，惡意代碼主要針對 Windows（PE 格式）和 Linux（ELF 格式）系統(tǒng)

記事本平臺(tái)（來源：ASEC）

WogRAT 惡意軟件自 2022 年底開始出現(xiàn)在互聯(lián)網(wǎng)上，攻擊 Windows 時(shí)，該惡意軟件會(huì)偽裝成 "flashsetup_LL3gjJ7.exe "或 "BrowserFixup.exe "等實(shí)用程序來引誘受害者。根據(jù) VirusTotal 數(shù)據(jù)顯示，中國香港、新加坡、中國和日本等亞洲國家和地區(qū)是 WogRAT 惡意軟件的主要攻擊目標(biāo)。

研究人員在剖析偽裝成 Adobe 工具的 Windows WogRAT 樣本時(shí)，發(fā)現(xiàn)了一個(gè)基于 .NET 的 Chrome 實(shí)用程序偽裝隱藏了一個(gè)加密下載器。

加密源代碼（source–ASEC）

在執(zhí)行攻擊行動(dòng)的過程中，WogRAT 惡意軟件會(huì)自動(dòng)編譯并加載一個(gè) DLL，以從記事本中獲取字符串并對其進(jìn)行 Base64 解碼，從而顯示在線記事本服務(wù)上緩存的經(jīng)過混淆的 .NET 二進(jìn)制有效載荷。

研究人員還發(fā)現(xiàn)從 C&C 下載的命令包含類型、任務(wù) ID 和相關(guān)數(shù)據(jù)等指令。例如，"upldr "任務(wù)會(huì)讀取 "C:\malware.exe "并通過 FTP 上傳到服務(wù)器。

值得一提的是，雖然研究人員分析樣本使用的是缺乏上傳功能的測試 URL，但其它 WogRAT 惡意軟件變種很可能利用了這種文件的外滲功能。

目前，雖然 WogRAT 惡意軟件的初始載體尚不明確，但研究人員觀察到了一個(gè) Linux 變種，在運(yùn)行時(shí)，變種會(huì)偽裝成"[kblockd]"，收集系統(tǒng)元數(shù)據(jù)用于外泄，其行為與 Windows 版本完全相同。

Linux  WogRAT 不會(huì)直接接收指令，而是從 C&C 獲取一個(gè)反向外殼地址，然后連接接收指令，這表明威脅攻擊者擁有 Tiny SHell 服務(wù)器基礎(chǔ)架構(gòu)，因?yàn)?WogRAT 采用了該開源惡意軟件的例程和 C&C 機(jī)制，包括通過 HMAC SHA1 進(jìn)行 AES-128 加密和未更改的 0x10 字節(jié)完整性檢查。

最后，安全研究人員建議，用戶應(yīng)該避免使用不受信任的可執(zhí)行文件，日常工作中，也要盡量從官方來源獲取程序。

參考文章：https://cybersecuritynews.com/wograt-malware-exploits-notepad/