Các nạn nhân của phần mềm độc hại WogRATđược xác định trải dài trên các quốc gia tại châu Á, trong đó có Nhật Bản, Singapore, Trung Quốc, Hồng Kông. Phương thức phân phối hiện tại của WogRAT vẫn chưa được xác định, thế nhưng tên của các tệp thực thi mẫu được phân tích giống với một số phần mềm phổ biến như: flashsetup_LL3gjJ7.exe, WindowsApp.exe, WindowsTool.exe, BrowserFixup.exe, ChromeFixup.exe, HttpDownload.exe, ToolKit.exe), vì vậy ASEC nhận định chúng có thể được phân phối thông qua các quảng cáo độc hại hoặc các kỹ thuật lừa đảo tương tự.
Một khía cạnh đáng chú ý trong hoạt động của WogRAT là việc lạm dụng aNotepad, một nền tảng Notepad trực tuyến miễn phí. Phần mềm độc hại này ngụy trang dưới dạng công cụ Adobe trong tệp nhị phân .NET mã hóa base64 (phiên bản Windows) được lưu trữ trên aNotepad.
Là một dịch vụ trực tuyến hợp pháp, aNotepad không bị các công cụ bảo mật đưa vào danh sách chặn hoặc bị xử lý một cách đáng ngờ, điều này giúp cho chuỗi lây nhiễm hoạt động giấu mình hơn.
Khi WogRAT được thực thi lần đầu tiên trên máy của nạn nhân, nó hoạt động như phần mềm vô hại và có thể trốn tránh sự phát hiện của các công cụ anti-virus. Tuy nhiên, WogRAT chứa mã nguồn được mã hóa dành cho trình tải xuống phần mềm độc hại được biên dịch và thực thi nhanh chóng. Trình tải xuống này truy xuất một tệp nhị phân .NET độc hại khác được lưu trữ ở dạng mã hóa base64 trên aNotepad, đóng vai trò là backdoor cho phép liên lạc với máy chủ điều khiển và ra lệnh (C2)
Hình 1. Chuỗi được mã hóa từ aNotepad
WogRAT gửi thông tin cơ bản của hệ thống bị nhiễm đến máy chủ C2 để từ đó nhận lệnh để thực thi. Có 5 chức năng chính mà phần mềm độc hại hỗ trợ, bao gồm:
Hình 2. Tải lên tệp tin FTP
Ngoài việc nhắm mục tiêu vào các hệ thống Windows, WogRAT còn có một biến thể Linux được phân phối dưới dạng ELF và có nhiều điểm tương đồng với biến thể Windows. Tuy nhiên, nó tự phân biệt bằng cách sử dụng Tiny Shell cho các hoạt động định tuyến và mã hóa bổ sung trong giao tiếp với C2.
Được biết, TinySHell là một backdoor mã nguồn mở hỗ trợ trao đổi dữ liệu và thực thi lệnh trên hệ thống Linux cho nhiều tác nhân đe dọa, bao gồm LightBasin, OldGremlin, UNC4540.
Một điểm khác biệt đáng chú ý khác là các lệnh trên biến thể Linux không được gửi qua các yêu cầu POST, thay vào đó được phân phối thông qua một reverse shell được tạo trên một IP và cổng nhất định.
Các nhà nghiên cứu của ASEC không thể xác định cách các tệp nhị phân ELF này được phân phối trên nạn nhân, trong khi biến thể Linux không lạm dụng aNotepad để lưu trữ và truy xuất mã độc.
Mặc dù, các phương thức phân phối của WogRAT vẫn chưa được tiết lộ nhưng sự xuất hiện của phần mềm độc hại này đã gây ra mối đe dọa đáng kể cho người dùng Windows và Linux. WogRAT nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ bằng cách khai thác các nền tảng Notepad trực tuyến và sử dụng các kỹ thuật khai thác tinh vi.
Bình Nhung
(Tổng hợp)
14:00 | 11/04/2024
14:00 | 05/03/2024
13:00 | 07/02/2024
10:00 | 10/04/2024
08:00 | 10/02/2024
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024