By | 25 مهر 1403
بدافزار WogRAT

بدافزار WogRAT سیستم عامل های ویندوز و لینوکس را هدف قرار می دهد. این بدافزار از سرویس دفترچه یادداشت آنلاین “aNotepad” به عنوان یک کانال مخفی برای ذخیره و اجرای کدهای مخرب خود استفاده می کند. عملکرد اولیه، روش توزیع و تأثیر آن بر سیستم های آلوده؛ نگرانی های قابل توجهی را در جامعه امنیت سایبری ایجاد کرده است. نکته ی قابل توجه در مورد این بدافزار این است که تنها کشورهای آسیایی را هدف قرار می دهد.

بدافزار WogRAT

هنگامی که این بدافزار برای اولین بار بر روی دستگاه قربانی اجرا شود، بعید است که توسط ابزارهای Anti-Virus شناخته شود زیرا هیچ عملکرد مخربی از خود نشان نمی دهد. با این حال، این بدافزار حاوی کد رمزگذاری شده برای دانلود بدافزار است که به سرعت کامپایل و اجرا می شود. این دانلود کننده یک فایل باینری دات نت مخرب دیگر را که به شکل کدگذاری شده base64 در نوت پد ذخیره شده است را دانلود می کند و در نهایت یک فایل DLL  دانلود می کند که در واقع backdoor بدافزار WogRAT است.

نسخه لینوکس بدافزار WogRAT

نسخه لینوکس این بدافزار که به شکل ELF ارائه می شود، شباهت های زیادی با نسخه ویندوز دارد. ELF یا Executable and Linkable Format فرمت استاندارد فایل برای لینوکس و بسیاری دیگر از سیستم عامل های مشابه یونیکس است. از Tiny Shell برای مسیریابی و رمزگذاری و ارتباط با C2 استفاده می کند.

Tiny Shell یک backdoor منبع باز است که تبادل داده و اجرای فرمان را در سیستم‌های لینوکس برای چندین عامل تهدید، از جمله LightBasin، OldGremlin، UNC4540 و اپراتورهای ناشناس Rootkit لینوکس یا Syslogk تسهیل می‌کند.

تفاوت قابل توجه دیگر این است که دستورات در نسخه لینوکس از طریق درخواست‌های POST ارسال نمی‌شوند، بلکه از طریق یک پوسته معکوس ایجاد شده در یک IP و پورت مشخص صادر می‌شوند. در نسخه لینوکس، این بدافزار از Notepad برای میزبانی و بازیابی کدهای مخرب استفاده نمی کند.

بدافزار WogRAT

هشدار جدی در مورد آسیب رسانی بدافزار WogRAT به سیستم ها

در صورت مشکوک بودن به آلودگی به بدافزار WogRAT چه اقداماتی باید انجام شود؟

 Isolate: فورا سیستم های آسیب دیده را از شبکه جدا کنید تا از گسترش بیشتر جلوگیری شود.

 تجزیه و تحلیل: تجزیه و تحلیل کامل سیستم های آلوده را برای شناسایی تمام اجزای بدافزار انجام دهید.

 ریشه کن کردن: تمام آثار آلودگی را از سیستم حذف کنید، مطمئن شوید که هیچ چیزی از آن باقی نمانده است.

 بازیابی: در صورت لزوم اطلاعات سیستم‌های آسیب‌دیده را از نسخه‌های پشتیبان سالم بازیابی کنید.

 گزارش: یافته‌ها را با جامعه امنیت سایبری گسترده‌تر به اشتراک بگذارید تا به توسعه راهبردهای شناسایی کمک کند.

روش‌های توزیع بدافزار WogRAT ناشناخته است، اما نام فایل‌های اجرایی استفاده شده شبیه ابزارهای محبوب زیر است:

flashsetup_LL3gjJ7.exe

WindowsApp.exe

WindowsTool.exe

BrowserFixup.exe

ChromeFixup.exe

HttpDownload.exe

ToolKit.exe

بدافزار WogRAT

توصیه های امنیتی برای هشیاری بیشتر در زمینه بدافزار WogRAT به تیم‌های امنیتی:

نظارت بر شبکه: نظارت سطح بالا بر ترافیک شبکه، به ویژه مربوط به سرویس های ذخیره سازی آنلاین شناخته شده، برای شناسایی فعالیت های مخرب بالقوه.

 حفاظت از سیستم ها: اطمینان حاصل کنید که ابزارهای حفاظتی و امنیتی سیستم ها بروز بوده و قادر به شناسایی و جلوگیری از انتشار و آلودگی به گونه های مختلف بدافزارهای شناخته شده هستند.

 آگاهی رسانی به کاربران: به کاربران در مورد خطرات دانلود فایل ها از منابع ناشناخته و اهمیت عدم اجرای اسکریپت ها یا برنامه های تأیید نشده آموزش دهید.

 کنترل‌های دسترسی: دسترسی به سیستم‌ها و داده‌های حیاتی آن را سخت تر نمایید تا تأثیر احتمالی آلودگی به حداقل برسد.

به تیم‌های امنیتی توصیه می‌شود که به عنوان بخشی از استراتژی‌های شناسایی خود، ترافیک شبکه مربوط به “aNotepad https://anotepad[.]com” و سایر سرویس‌های ذخیره‌سازی آنلاین را رصد کنند.

 

 

منابع:

Cybersecsentinel

Bleepingcomputer

Gridinsoft

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *