バックドア型マルウェア WogRAT が配布…無料メモ帳「aNotepad」を悪用

無料のオンラインメモ帳プラットフォーム「 aNotepad 」を悪用してバックドア悪性コード「 WogRAT 」が配布されています。 WogRAT はWindowsとLinuxシステムを両方支援するマルウェアで、正常ユーティリティを偽造してダウンロードを誘導することに推定されます。

AhnLab Security Intelligence Center（ASEC）によると、2022年末から WogRAT を悪用した攻撃が始まったそうです。特に、攻撃に使用されたマルウェアの名称は「flashsetup_LL3gjJ7.exe」、「WindowsApp.exe」など、正常ユーティリティを偽造した場合が頻繁でした。VirusTotalを基準に攻撃の対象は香港やシンガポール、中国、日本等のアジアの国々に見えます。

Windowsバージョンの WogRAT 配布の事例を見ると、AdobeのツールやChromeウェブブラウザに関わるツールに偽造していました。マルウェアが実行されるとaNotepadプラットフォームを通じて文字列を復号化しました。 WogRAT が初めて実行されると感染システムの基本情報を収集してC＆Cサーバーに送ります。その後、命令の実行及び結果の転送、ファイルダウンロード・アップロード等のコマンドを支援します。 WogRAT は、最初アクセス、コマンド・ダウンロード、コマンド実行結果の構造のデータをPOSTリクエストで転送しました。Linuxシステムで配布される WogRAT もC＆Cサーバーを使ってデータを転送しました。Windowsのバージョンと似ていて、Rekoobeバックドアと類似にオープンソースのマルウェア「Tiny SHell」のルーティンを借用したのが特徴です。

WogRAT が実行されると、プロセスの名称を正常のプロセスと類似に変更してユーザーがそれに気づけることが難しくなります。今まで「kblockd」にプロセスの名称を変更し、その後、Windowsのバージョンと類似に感染システムの基本的な情報を収集・転送します。但し、C＆Cサーバーとの通信でデータを送る際、暗号化をプロセスを経るという点でWindowsのシステムと差があります。また、C＆Cサーバーから直接コマンドを受ける代わりにリバースシェルを担当するサーバーに対するアドレスを受けて該当アドレスにアクセスします。

このように、WindowsとLinuxシステムを対象に WogRAT というマルウェアが配布されているため、特別な注意が要求されます。ユーザーは疑わしいウェブサイトや資料共有サイトからの実行ファイルの設置に気を付けなければなりません。特に、ユーティリティ及びゲーム等のプログラムは必ず公式のホームページからダウンロードするべきです。