'Wograt' olarak adlandırılan yeni bir kötü amaçlı yazılım, kötü amaçlı kodları depolamak ve almak için gizli bir kanal olarak 'AnotePad' adlı çevrimiçi not defteri platformunu kötüye kullanan saldırılarda hem Windows hem de Linux'u hedefler.
'Wingofgod' okuyan bir dizeden kötü amaçlı yazılımları adlandıran Ahnlab Güvenlik İstihbarat Merkezi (ASEC) araştırmacılarına göre, en azından 2022'nin sonlarından beri Japonya, Singapur, Çin, Hong Kong ve diğer Asya ülkelerini hedefleyen aktif.
Dağıtım yöntemleri bilinmemektedir, ancak örneklenen yürütülebilir ürünlerin adları popüler yazılıma (flashsetup_ll3gjj7.exe, windowsapp.exe, chromeFixup.exe, htpdownload.exe, toolkit.exe), bu nedenle malvertizing veya benzer şemalar yoluyla dağıtılır.
Bir Adobe aracı olarak gizlenmiş, kötü amaçlı yazılımın Windows sürümünün baz64 kodlu bir .NET ikilisini barındırmak için ücretsiz bir çevrimiçi not defteri platformu olan Anotepad'in kötüye kullanılmasıdır.
Meşru bir çevrimiçi hizmet olan AnotePad, enfeksiyon zincirini daha kıskanmaya yardımcı olan güvenlik araçları tarafından engelli bir şekilde blok listelenmez veya muamele görmez.
Kötü amaçlı yazılım ilk olarak kurbanın makinesinde yürütüldüğünde, herhangi bir kötü amaçlı işlevsellik içermediği için AV araçları tarafından işaretlenmesi olası değildir.
Ancak, kötü amaçlı yazılım, anında derlenmiş ve yürütülen bir kötü amaçlı yazılım indiricisi için şifreli kaynak kodu içerir.
Bu indirici, AnotePad üzerinde Base64 kodlu formda depolanan başka bir kötü niyetli .NET ikili olarak alır ve bu da Wograt arka kapı olan bir DLL yüklenmesine neden olur.
Wograt, enfekte sistemin temel bir profilini komut ve kontrol (C2) sunucusuna gönderir ve yürütme komutları alır.
Desteklenen beş işlev vardır:
ELF formunda gelen Wograt'ın Linux sürümü, Windows varyantıyla birçok benzerliği paylaşıyor. Bununla birlikte, yönlendirme işlemleri için küçük kabuk ve C2 ile iletişiminde ek şifreleme kullanarak kendini ayırt eder.
TinyShell, Lightbasin, Oldgremlin, UNC4540 ve Linux rootkit 'Syslogk'un tanımlanamayan operatörleri de dahil olmak üzere çoklu tehdit aktörleri için Linux sistemlerinde veri alışverişini ve komuta yürütülmesini kolaylaştıran açık kaynaklı bir arka kapıdır.
Bir başka dikkate değer fark, Linux varyantındaki komutların posta istekleri yoluyla gönderilmemesi, bunun yerine belirli bir IP ve bağlantı noktasında oluşturulan bir ters bir kabuk aracılığıyla verilmesidir.
ASEC analistleri, bu Elf ikili dosyalarının kurbanlara nasıl dağıtıldığını belirleyemerken, Linux varyantı Anotepad'i kötü amaçlı kodları barındırma ve almak için kötüye kullanmaz.
Wograt ile ilgili uzlaşma göstergelerinin (IOCS) tam listesi ASEC raporunun altında bulunabilir.
Bilgisayar korsanları USB kötü amaçlı yazılım yüklerini haberler, medya barındırma siteleri aracılığıyla itin
Screenconnect Kusurları Yeni Toddlerhark kötü amaçlı yazılımları bırakmak için sömürüldü
Stealthy GtpDoor Linux kötü amaçlı yazılım hedefleri mobil operatör ağları
CISA, kötü amaçlı yazılım saldırılarında sömürülen Microsoft akış hatası konusunda uyarıyor
Linux için Yeni Bifrost Kötü Yazılım Mimics VMware Alanı Kaçma için
Kaynak: Bleeping Computer