メモ帳から来るWogRAT

WogRATは、名前が示すようにリモートアクセストロイ型のマルウェアです。
感染の経路に特色があります。
概要を見てみましょう。

• ターゲット地域
  アジア諸国での活動が確認されています。
  VirusTotalにアップロードされている情報から考えると、香港、シンガポール、中国、日本などで活動しているようです。

   

• ターゲット環境
  WogRATは、マルチプラットフォーム対応です。
  Windowsで動作するものとLinuxで動作するものとが観測されています。

   

• 多段階の感染プロセス
  詳細は明らかになっていませんが、初期感染は「WindowsApp.exe」、「WindowsTool.exe」、「BrowserFixup.exe」、「ChromeFixup.exe」、などの正規のユーティリティツールとして名前を偽装してファイルのダウンロードを促します。
  そのファイルを実行すると、復号化やコンパイルや実行といったプロセスを経て、侵害が進捗していきます。
  その過程でマルウェアの情報を置いておく場所の一つに、オンラインメモ帳プラットフォームが悪用されます。
  悪用されるオンラインメモ帳プラットフォームは「aNotepad」です。
  このサービスは悪意のあるものではなく通常に利用されているものですが、脅威アクターはここにマルウェアのバイナリをBase64エンコードしたものを置き、感染に使用します。
  GitHubなどのプラットフォームがこういった用途に利用されるケースは、これまで多く確認されていますが、今度はこれを選んできたか、という感じです。

   

• WogRATのWindows版の機能
  Windows版とLinux版で機能に少し差があります。
  Windows版では、コマンドの実行、ダウンロード、アップロード、待ち時間の変更、終了のそれぞれの機能が実装されています。
  C2からのコマンドは、そのまま送信される形式になっています。

   

• WogRATのLinux版の機能
  Linux版では、リバースシェル、アップロード、待ち時間の変更、終了のそれぞれの機能が実装されています。
  機能は異なりますが、使い勝手としては、むしろLinux版のほうが自由度があるように思えます。
  C2からのコマンドはそのまま送信される形式ではなく、リバースシェルが使用されます。
  C2との送受信に際しては、文字列は暗号化されたものが使用されますので、ネットワーク上を流れる文字列は平文ではありません。
  リバースシェルにはTiny SHellが利用されます。

見つけることが困難になるような細工が施されたマルウェアが、次々に登場してきます。
なんらかのファイルをリモートで入手して実行するという機会はある程度必要な時があるように思いますが、少なくともユーティリティプログラムやゲームなどについては、公式Webサイトからダウンロードすることがよいと考えられます。
脆弱性を悪用した感染行為でない場合は、脆弱性対応の実施は直接の効能とならないことも考えられますが、侵害された後にさらに問題を大きくしないための効能は依然として期待できます。
ダウンロードする際に注意の必要があることを意識する、脆弱性対応はタイムリーに継続する、こういった運用で安全を保っていきたいものです。

参考記事（外部リンク）：WogRAT Malware Exploits aNotepad (Windows, Linux)
asec.ahnlab.com/en/62446/