Các nạn nhân của phần mềm độc hại WogRATđược xác định trải dài trên các quốc gia tại châu Á, trong đó có Nhật Bản, Singapore, Trung Quốc, Hồng Kông. Phương thức phân phối hiện tại của WogRAT vẫn chưa được xác định, thế nhưng tên của các tệp thực thi mẫu được phân tích giống với một số phần mềm phổ biến như: flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), vì vậy ASEC nhận định chúng có thể được phân phối thông qua các quảng cáo độc hại hoặc các kỹ thuật lừa đảo tương tự.
Một khía cạnh đáng chú ý trong hoạt động của WogRAT là việc lạm dụng aNotepad, một nền tảng Notepad trực tuyến miễn phí. Phần mềm độc hại này ngụy trang dưới dạng công cụ Adobe trong tệp nhị phân .NET mã hóa base64 (phiên bản Windows) được lưu trữ trên aNotepad.
Là một dịch vụ trực tuyến hợp pháp, aNotepad không bị các công cụ bảo mật đưa vào danh sách chặn hoặc bị xử lý một cách đáng ngờ, điều này giúp cho chuỗi lây nhiễm hoạt động giấu mình hơn.
Khi WogRAT được thực thi lần đầu tiên trên máy của nạn nhân, nó hoạt động như phần mềm vô hại và có thể trốn tránh sự phát hiện của các công cụ anti-virus. Tuy nhiên, WogRAT chứa mã nguồn được mã hóa dành cho trình tải xuống phần mềm độc hại được biên dịch và thực thi nhanh chóng. Trình tải xuống này truy xuất một tệp nhị phân .NET độc hại khác được lưu trữ ở dạng mã hóa base64 trên aNotepad, đóng vai trò là backdoor cho phép liên lạc với máy chủ điều khiển và ra lệnh (C2)
Hình 1. Chuỗi được mã hóa từ aNotepad
WogRAT gửi thông tin cơ bản của hệ thống bị nhiễm đến máy chủ C2 để từ đó nhận lệnh để thực thi. Có 5 chức năng chính mà phần mềm độc hại hỗ trợ, bao gồm:
Hình 2. Tải lên tệp tin FTP
Ngoài việc nhắm mục tiêu vào các hệ thống Windows, WogRAT còn có một biến thể Linux được phân phối dưới dạng ELF và có nhiều điểm tương đồng với biến thể Windows. Tuy nhiên, nó tự phân biệt bằng cách sử dụng Tiny Shell cho các hoạt động định tuyến và mã hóa bổ sung trong giao tiếp với C2.
Được biết, TinySHell là một backdoor mã nguồn mở hỗ trợ trao đổi dữ liệu và thực thi lệnh trên hệ thống Linux cho nhiều tác nhân đe dọa, bao gồm LightBasin, OldGremlin, UNC4540.
Một điểm khác biệt đáng chú ý khác là các lệnh trên biến thể Linux không được gửi qua các yêu cầu POST, thay vào đó được phân phối thông qua một reverse shell được tạo trên một IP và cổng nhất định.
Các nhà nghiên cứu của ASEC không thể xác định cách các tệp nhị phân ELF này được phân phối trên nạn nhân, trong khi biến thể Linux không lạm dụng aNotepad để lưu trữ và truy xuất mã độc.
Mặc dù, các phương thức phân phối của WogRAT vẫn chưa được tiết lộ nhưng sự xuất hiện của phần mềm độc hại này đã gây ra mối đe dọa đáng kể cho người dùng Windows và Linux. WogRAT nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ bằng cách khai thác các nền tảng Notepad trực tuyến và sử dụng các kỹ thuật khai thác tinh vi.
Bình Nhung
(Tổng hợp)
14:00 | 11/04/2024
14:00 | 05/03/2024
13:00 | 07/02/2024
10:00 | 10/04/2024
08:00 | 10/02/2024
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
09:00 | 24/11/2023
Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024