WogRAT 恶意软件用记事本服务攻击 Windows 和 Linux 系统

近期 ，恶意ASEC 网络安全分析师发现恶意软件 WogRAT 正在通过记事本 Notepad 服务攻击 Windows 和 Linux 系统。软件

安全研究人员表示，用记威胁攻击者通过使用 WogRAT 恶意软件 ，事本借助记事本 Notepad 工具，服务来利用系统资源和用户权限，攻击从而获取未经授权的恶意访问权限并执行恶意代码。

研究人员发现威胁攻击者通过 Notepad 在线记事本服务传播后门木马
，软件因恶意软件背后的用记运营商使用 "WingOfGod "字符串而被业内命名为 "WogRAT"，恶意代码主要针对 Windows（PE 格式）和 Linux（ELF 格式）系统

记事本平台（来源
：ASEC）

WogRAT 恶意软件自 2022 年底开始出现在互联网上 ，云计算事本攻击 Windows 时 ，服务该恶意软件会伪装成 "flashsetup_LL3gjJ7.exe "或 "BrowserFixup.exe "等实用程序来引诱受害者。攻击根据 VirusTotal 数据显示，恶意中国香港 、软件新加坡、用记中国和日本等亚洲国家和地区是 WogRAT 恶意软件的主要攻击目标。

研究人员在剖析伪装成 Adobe 工具的 Windows WogRAT 样本时，发现了一个基于 .NET 的模板下载 Chrome 实用程序伪装隐藏了一个加密下载器。

加密源代码（source–ASEC）

在执行攻击行动的过程中，WogRAT 恶意软件会自动编译并加载一个 DLL，以从记事本中获取字符串并对其进行 Base64 解码 ，从而显示在线记事本服务上缓存的经过混淆的 .NET 二进制有效载荷
。

研究人员还发现从 C&C 下载的命令包含类型 、任务 ID 和相关数据等指令 。建站模板例如 ，"upldr "任务会读取 "C:\malware.exe "并通过 FTP 上传到服务器。

值得一提的是，虽然研究人员分析样本使用的是缺乏上传功能的测试 URL
 ，但其它 WogRAT 恶意软件变种很可能利用了这种文件的外渗功能 。源码下载

目前，虽然 WogRAT 恶意软件的初始载体尚不明确，但研究人员观察到了一个 Linux 变种 ，在运行时，变种会伪装成"[kblockd]" ，收集系统元数据用于外泄 ，其行为与 Windows 版本完全相同。

Linux  WogRAT 不会直接接收指令 ，而是从 C&C 获取一个反向外壳地址，香港云服务器然后连接接收指令，这表明威胁攻击者拥有 Tiny SHell 服务器基础架构 ，因为 WogRAT 采用了该开源恶意软件的例程和 C&C 机制，包括通过 HMAC SHA1 进行 AES-128 加密和未更改的 0x10 字节完整性检查 。

最后  ，安全研究人员建议
，用户应该避免使用不受信任的可执行文件，日常工作中 ，亿华云也要尽量从官方来源获取程序。

参考文章：https://cybersecuritynews.com/wograt-malware-exploits-notepad/

最新评论