
بدافزار WogRAT سیستم عامل های ویندوز و لینوکس را هدف قرار می دهد. این بدافزار از سرویس دفترچه یادداشت آنلاین “aNotepad” به عنوان یک کانال مخفی برای ذخیره و اجرای کدهای مخرب خود استفاده می کند. عملکرد اولیه، روش توزیع و تأثیر آن بر سیستم های آلوده؛ نگرانی های قابل توجهی را در جامعه امنیت سایبری ایجاد کرده است. نکته ی قابل توجه در مورد این بدافزار این است که تنها کشورهای آسیایی را هدف قرار می دهد.
هنگامی که این بدافزار برای اولین بار بر روی دستگاه قربانی اجرا شود، بعید است که توسط ابزارهای Anti-Virus شناخته شود زیرا هیچ عملکرد مخربی از خود نشان نمی دهد. با این حال، این بدافزار حاوی کد رمزگذاری شده برای دانلود بدافزار است که به سرعت کامپایل و اجرا می شود. این دانلود کننده یک فایل باینری دات نت مخرب دیگر را که به شکل کدگذاری شده base64 در نوت پد ذخیره شده است را دانلود می کند و در نهایت یک فایل DLL دانلود می کند که در واقع backdoor بدافزار WogRAT است.
نسخه لینوکس بدافزار WogRAT
نسخه لینوکس این بدافزار که به شکل ELF ارائه می شود، شباهت های زیادی با نسخه ویندوز دارد. ELF یا Executable and Linkable Format فرمت استاندارد فایل برای لینوکس و بسیاری دیگر از سیستم عامل های مشابه یونیکس است. از Tiny Shell برای مسیریابی و رمزگذاری و ارتباط با C2 استفاده می کند.
Tiny Shell یک backdoor منبع باز است که تبادل داده و اجرای فرمان را در سیستمهای لینوکس برای چندین عامل تهدید، از جمله LightBasin، OldGremlin، UNC4540 و اپراتورهای ناشناس Rootkit لینوکس یا Syslogk تسهیل میکند.
تفاوت قابل توجه دیگر این است که دستورات در نسخه لینوکس از طریق درخواستهای POST ارسال نمیشوند، بلکه از طریق یک پوسته معکوس ایجاد شده در یک IP و پورت مشخص صادر میشوند. در نسخه لینوکس، این بدافزار از Notepad برای میزبانی و بازیابی کدهای مخرب استفاده نمی کند.
هشدار جدی در مورد آسیب رسانی بدافزار WogRAT به سیستم ها
در صورت مشکوک بودن به آلودگی به بدافزار WogRAT چه اقداماتی باید انجام شود؟
Isolate: فورا سیستم های آسیب دیده را از شبکه جدا کنید تا از گسترش بیشتر جلوگیری شود.
تجزیه و تحلیل: تجزیه و تحلیل کامل سیستم های آلوده را برای شناسایی تمام اجزای بدافزار انجام دهید.
ریشه کن کردن: تمام آثار آلودگی را از سیستم حذف کنید، مطمئن شوید که هیچ چیزی از آن باقی نمانده است.
بازیابی: در صورت لزوم اطلاعات سیستمهای آسیبدیده را از نسخههای پشتیبان سالم بازیابی کنید.
گزارش: یافتهها را با جامعه امنیت سایبری گستردهتر به اشتراک بگذارید تا به توسعه راهبردهای شناسایی کمک کند.
روشهای توزیع بدافزار WogRAT ناشناخته است، اما نام فایلهای اجرایی استفاده شده شبیه ابزارهای محبوب زیر است:
flashsetup_LL3gjJ7.exe
WindowsApp.exe
WindowsTool.exe
BrowserFixup.exe
ChromeFixup.exe
HttpDownload.exe
ToolKit.exe
توصیه های امنیتی برای هشیاری بیشتر در زمینه بدافزار WogRAT به تیمهای امنیتی:
نظارت بر شبکه: نظارت سطح بالا بر ترافیک شبکه، به ویژه مربوط به سرویس های ذخیره سازی آنلاین شناخته شده، برای شناسایی فعالیت های مخرب بالقوه.
حفاظت از سیستم ها: اطمینان حاصل کنید که ابزارهای حفاظتی و امنیتی سیستم ها بروز بوده و قادر به شناسایی و جلوگیری از انتشار و آلودگی به گونه های مختلف بدافزارهای شناخته شده هستند.
آگاهی رسانی به کاربران: به کاربران در مورد خطرات دانلود فایل ها از منابع ناشناخته و اهمیت عدم اجرای اسکریپت ها یا برنامه های تأیید نشده آموزش دهید.
کنترلهای دسترسی: دسترسی به سیستمها و دادههای حیاتی آن را سخت تر نمایید تا تأثیر احتمالی آلودگی به حداقل برسد.
➕به تیمهای امنیتی توصیه میشود که به عنوان بخشی از استراتژیهای شناسایی خود، ترافیک شبکه مربوط به “aNotepad https://anotepad[.]com” و سایر سرویسهای ذخیرهسازی آنلاین را رصد کنند.➕
منابع:
Cybersecsentinel
Bleepingcomputer
Gridinsoft