새로운 악성코드인 'WogRAT'이 온라인 메모장 플랫폼인 'aNotepad'를 악용하여 악의적인 코드를 저장하고 검색하는 공격에서 Windows와 Linux를 대상으로 합니다. AhnLab Security Intelligence Center (ASEC) 연구원들에 따르면, 이 악성코드는 'WingOfGod'라는 문자열에서 이름을 따왔고 2022년 말 이후로 활동하고 있으며, 일본, 싱가포르, 중국, 홍콩 등 아시아 국가들을 대상으로 합니다. 배포 방법은 알려져 있지 않지만, 샘플 실행 파일의 이름이 인기 있는 소프트웨어와 유사하므로, 광고를 통해 배포되거나 비슷한 방식으로 배포될 가능성이 높습니다.
aNotepad는 무료 온라인 메모장 플랫폼으로, 악성코드의 Windows 버전인 base64로 인코딩된 .NET 바이너리를 호스팅하는 데 악용되었습니다. 이는 합법적인 온라인 서비스이므로, aNotepad는 차단 목록에 없으며 보안 도구에 의해 의심스럽게 여겨지지 않아 감염 과정을 더 은밀하게 만듭니다. 악성코드가 처음 피해자의 기기에서 실행될 때, 악의적인 기능이 없기 때문에 AV 도구에 의해 플래그가 지정되지 않을 가능성이 높습니다. 그러나 이 악성코드는 악성코드 다운로더를 위한 암호화된 소스 코드를 포함하고 있으며, 이는 즉석에서 컴파일되고 실행됩니다.
Linux 버전의 WogRAT은 ELF 형태로 제공되며, Windows 버전과 많이 유사합니다. 그러나 Tiny Shell을 이용한 라우팅 작업과 C2와의 통신에서 추가적인 암호화를 사용함으로써 차별화되비다. TinyShell은 LightBasin, OldGremlin, UNC4540, 그리고 Linux rootkit 'Syslogk'의 미확인 운영자를 포함한 여러 위협 행위자들이 Linux 시스템에서 데이터 교환과 명령 실행을 용이하게 하는 오픈소스 백도어입니다. 또한 Linux 버전에서는 명령이 POST 요청을 통해 전송되지 않고 주어진 IP와 포트에서 생성된 역방향 쉘을 통해 발행된다는 점이 눈에 띕니다.
요약
- 'WogRAT'이라는 새로운 악성코드가 Windows와 Linux를 대상으로 공격하며, 이는 온라인 메모장 플랫폼인 'aNotepad'를 악용한다.
- 악성코드는 악의적인 기능이 없어 AV 도구에 의해 플래그가 지정되지 않을 가능성이 높다.
- Linux 버전의 WogRAT은 추가적인 암호화와 함께 Tiny Shell을 이용하며, 명령은 주어진 IP와 포트에서 생성된 역쉘을 통해 발행된다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.