Троянски кон GodRAT
Киберпрестъпниците отново са насочени към финансови организации, като търговските и брокерските фирми са в мерника на кампания, разпространяваща досега неизвестен троянски кон за отдалечен достъп (RAT), наречен GodRAT. Атаката се разпространява чрез злонамерени .SCR файлове, маскирани като финансови документи, споделяни чрез Skype Messenger.
Съдържание
Скрити полезни товари чрез стеганография
Последните разследвания показват, че нападателите използват стеганография, за да скрият шелкод във файлове с изображения. Тези скрити инструкции задействат изтеглянето на GodRAT от команден и контролен (C2) сървър. Доказателствата сочат, че кампанията е в ход от 9 септември 2024 г., като активността е регистрирана едва на 12 август 2025 г. Засегнатите региони включват Хонконг, ОАЕ, Ливан, Малайзия и Йордания.
От Gh0st RAT до GodRAT
GodRAT се счита за съвременна еволюция на Gh0st RAT, троянски кон, чийто изходен код изтече през 2008 г. и оттогава е широко възприет от китайски хакерски групи. Прилики са открити и с AwesomePuppet, друг производен на Gh0st RAT, разкрит през 2023 г. и приписван на плодовитата група Winnti (APT41).
Зловредният софтуер е проектиран със структура, базирана на плъгини, което му позволява да събира чувствителна информация и да внедрява допълнителни полезни товари, като например AsyncRAT.
Верига на инфекцията и техническа разбивка
Атаката започва с .SCR файлове, действащи като саморазархивиращи се изпълними файлове. Тези файлове съдържат множество вградени компоненти, включително злонамерен DLL файл, зареден странично чрез легитимен изпълним файл. Този DLL файл извлича шелкод, скрит в .JPG изображение, което в крайна сметка позволява внедряването на GodRAT.
След като е активен, троянският кон се свързва със своя C2 сървър чрез TCP, събирайки системни данни и подробности за инсталираните антивирусни инструменти. След предаване на тази информация, C2 сървърът издава команди. Тези инструкции позволяват на зловредния софтуер да:
- Инжектирайте получен DLL файл с плъгин в паметта.
- Прекратете процеса след затваряне на сокета.
- Изтеглете и изпълнете файлове, използвайки CreateProcessA API.
- Отваряне на конкретни URL адреси чрез команди на Internet Explorer
Разширяване на възможностите с плъгини
Един забележителен плъгин, FileManager DLL, предоставя на нападателите широк контрол върху системата на жертвата. Той позволява търсене на файлове, манипулиране и разглеждане на папки, като същевременно служи като инструмент за доставяне на вторичен зловреден софтуер. Потвърдените полезни товари включват:
- Програма за кражба на пароли, насочена към браузърите Chrome и Edge
- Троянският кон AsyncRAT за по-нататъшна експлоатация
Опции за GodRAT Builder и полезен товар
Изследователи разкриха конструктора на GodRAT и пълния клиентски изходен код, разкривайки неговата адаптивност. Конструкторът позволява на атакуващите да генерират изпълними файлове или DLL файлове. Ако е избран маршрутът за изпълними файлове, потребителите могат да изберат легитимни двоични файлове за инжектиране на код, включително svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe.
Получените полезни товари могат да бъдат запазени в различни формати, включително .exe, .com, .bat, .scr и .pif.
Стар код, съвременна заплаха
Откриването на GodRAT подчертава как традиционни импланти като Gh0st RAT – въведени за първи път преди близо две десетилетия, все още представляват сериозни рискове днес. Постоянната адаптация и пренасочване позволяват на атакуващите да поддържат тези инструменти актуални, осигурявайки дългосрочното им оцеляване в сферата на киберсигурността. GodRAT служи като напомняне, че дори старите кодови бази за зловреден софтуер остават мощни оръжия, когато са поставени в ръцете на опитни противници.
