حصان طروادة GodRAT

يستهدف مجرمو الإنترنت مجددًا المؤسسات المالية، حيث تستهدف شركات التداول والوساطة حملةً تُطلق فيروسًا غير معروف سابقًا يُسمى GodRAT، وهو حصان طروادة للوصول عن بُعد. ينتشر الهجوم عبر ملفات .SCR خبيثة مُموّهة على شكل مستندات مالية، تُشارك عبر تطبيق Skype messenger.

الحمولات المخفية من خلال التخفي

تُظهر التحقيقات الحديثة أن المهاجمين يستخدمون التخفي لإخفاء شيفرة القشرة داخل ملفات الصور. تُفعّل هذه التعليمات المخفية تنزيل GodRAT من خادم القيادة والتحكم (C2). تشير الأدلة إلى أن الحملة مستمرة منذ 9 سبتمبر/أيلول 2024، مع تسجيل نشاطها حتى 12 أغسطس/آب 2025. تشمل المناطق المتضررة هونغ كونغ، والإمارات العربية المتحدة، ولبنان، وماليزيا، والأردن.

من فأر الشبح إلى فأر الله

يُعتبر GodRAT تطورًا حديثًا لـ Gh0st RAT، وهو حصان طروادة سُرِّبت شيفرته المصدرية عام ٢٠٠٨، واعتمدته منذ ذلك الحين مجموعات التهديد الصينية على نطاق واسع. كما وُجدت أوجه تشابه مع AwesomePuppet، وهو مشتق آخر من Gh0st RAT كُشِف عنه عام ٢٠٢٣، ويُنسب إلى مجموعة Winnti (APT41) النشطة.

تم تصميم البرامج الضارة باستخدام بنية تعتمد على المكونات الإضافية، مما يسمح لها بجمع المعلومات الحساسة ونشر حمولات إضافية مثل AsyncRAT.

سلسلة العدوى والانهيار الفني

يبدأ الهجوم بملفات .SCR تعمل كملفات تنفيذية ذاتية الاستخراج. تحتوي هذه الملفات على مكونات مُضمنة متعددة، بما في ذلك ملف DLL ضار مُحمّل جانبيًا عبر ملف تنفيذي شرعي. يسترجع هذا الملف شفرة shellcode مخفية في صورة .JPG، مما يُمكّن في النهاية من نشر GodRAT.

بمجرد تفعيله، يتصل حصان طروادة بخادم C2 الخاص به عبر بروتوكول TCP، ويجمع بيانات النظام وتفاصيل أدوات مكافحة الفيروسات المُثبّتة. بعد إرسال هذه المعلومات، يُصدر خادم C2 أوامر. تتيح هذه التعليمات للبرنامج الخبيث ما يلي:

• حقن ملف DLL للمكون الإضافي المستلم في الذاكرة.
• إنهاء عمليته بعد إغلاق المقبس.
• قم بتنزيل الملفات وتنفيذها باستخدام واجهة برمجة التطبيقات CreateProcessA.
• فتح عناوين URL محددة من خلال أوامر Internet Explorer

توسيع القدرات باستخدام المكونات الإضافية

من الإضافات المميزة، FileManager DLL، التي تمنح المهاجمين تحكمًا واسعًا في نظام الضحية. فهي تُمكّن من البحث عن الملفات، والتلاعب بها، وتصفح المجلدات، كما تُعدّ أداةً لتوصيل البرمجيات الخبيثة الثانوية. تشمل الحمولات المؤكدة ما يلي:

• سارق كلمات المرور يستهدف متصفحي Chrome وEdge
• حصان طروادة AsyncRAT لمزيد من الاستغلال

خيارات GodRAT Builder وPayload

اكتشف الباحثون مُنشئ GodRAT وشيفرة المصدر الكاملة للعميل، كاشفين عن قابليته للتكيف. يسمح المُنشئ للمهاجمين بإنشاء ملفات قابلة للتنفيذ أو ملفات DLL. عند اختيار مسار الملفات القابلة للتنفيذ، يُمكن للمستخدمين اختيار ملفات ثنائية مشروعة لحقن الشيفرة البرمجية، بما في ذلك svchost.exe وcmd.exe وcscript.exe وcurl.exe وwscript.exe وQQMusic.exe وQQScLauncher.exe.

يمكن حفظ الحمولات الناتجة بتنسيقات مختلفة، بما في ذلك .exe، و.com، و.bat، و.scr، و.pif.

الكود القديم، التهديد الحديث

يُسلّط اكتشاف GodRAT الضوء على كيف أن أدوات الزرع القديمة، مثل Gh0st RAT، التي طُرِحت لأول مرة منذ ما يقرب من عقدين من الزمن، لا تزال تُشكّل مخاطر جسيمة حتى اليوم. يُمكّن التعديل المستمر وإعادة الاستخدام المُهاجمين من الحفاظ على فعالية هذه الأدوات، مما يضمن استمراريتها على المدى الطويل في مجال الأمن السيبراني. يُذكّر GodRAT بأن حتى قواعد بيانات البرامج الضارة القديمة تظل أسلحةً فعّالة عند وضعها في أيدي خصوم مُحنّكين.