Trojan GodRAT
Kyberzločinci se opět zaměřují na finanční organizace, přičemž obchodní a makléřské firmy se staly terčem kampaně, která šíří dříve neznámý trojský kůň pro vzdálený přístup (RAT) s názvem GodRAT. Útok se šíří prostřednictvím škodlivých souborů .SCR maskovaných jako finanční dokumenty, sdílených přes Skype.
Obsah
Skryté užitečné zatížení pomocí steganografie
Nedávné vyšetřování ukazuje, že útočníci používají steganografii k zakrytí shellcode v obrazových souborech. Tyto skryté instrukce spouštějí stahování GodRAT ze serveru Command-and-Control (C2). Důkazy naznačují, že kampaň probíhá od 9. září 2024 a aktivita byla zaznamenána až 12. srpna 2025. Mezi postižené regiony patří Hongkong, Spojené arabské emiráty, Libanon, Malajsie a Jordánsko.
Z Gh0st RAT na GodRAT
GodRAT je považován za moderní vývoj trojského koně Gh0st RAT, jehož zdrojový kód unikl v roce 2008 a od té doby jej široce přijaly čínské hackerské skupiny. Podobnosti byly nalezeny i u AwesomePuppet, dalšího derivátu Gh0st RAT odhaleného v roce 2023 a připisovaného produktivní skupině Winnti (APT41).
Malware je navržen s pluginy, které mu umožňují shromažďovat citlivé informace a nasazovat další datové části, jako je AsyncRAT.
Řetězec infekce a technické rozdělení
Útok začíná soubory .SCR, které fungují jako samorozbalovací spustitelné soubory. Tyto soubory obsahují několik vložených komponent, včetně škodlivé knihovny DLL, která je načtena prostřednictvím legitimního spustitelného souboru. Tato knihovna DLL načítá shellcode skrytý v obrázku .JPG, což nakonec umožňuje nasazení GodRAT.
Jakmile je trojský kůň aktivní, připojí se ke svému serveru C2 přes TCP a shromažďuje systémová data a podrobnosti o nainstalovaných antivirových nástrojích. Po odeslání těchto informací server C2 vydá příkazy. Tyto instrukce malwaru umožňují:
- Vložte přijatou knihovnu DLL pluginu do paměti.
- Ukončete jeho proces po uzavření socketu.
- Stahování a spouštění souborů pomocí rozhraní API CreateProcessA.
- Otevírání konkrétních URL adres pomocí příkazů v Internet Exploreru
Rozšiřování možností pomocí pluginů
Jeden pozoruhodný plugin, FileManager DLL, poskytuje útočníkům širokou kontrolu nad systémem oběti. Umožňuje vyhledávání souborů, manipulaci s nimi a procházení složek a zároveň slouží jako nástroj pro doručování sekundárního malwaru. Mezi potvrzené datové části patří:
- Program pro krádež hesel zaměřený na prohlížeče Chrome a Edge
- Trojan AsyncRAT pro další zneužití
Možnosti nástroje GodRAT Builder a užitečného obsahu
Výzkumníci odhalili nástroj pro tvorbu GodRAT a kompletní zdrojový kód klienta a odhalili jeho přizpůsobivost. Nástroj umožňuje útočníkům generovat buď spustitelné soubory, nebo knihovny DLL. Pokud je zvolena trasa spustitelného souboru, uživatelé si mohou pro vložení kódu vybrat legitimní binární soubory, včetně svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe a QQScLauncher.exe.
Výsledné datové části lze uložit v různých formátech, včetně .exe, .com, .bat, .scr a .pif.
Starší kód, moderní hrozba
Objev GodRATu zdůrazňuje, jak starší implantáty, jako je Gh0st RAT – poprvé představený před téměř dvěma desetiletími, stále představují velká rizika. Neustálé adaptace a přehodnocování umožňují útočníkům udržet tyto nástroje relevantní a zajistit jejich dlouhodobé přežití v oblasti kybernetické bezpečnosti. GodRAT slouží jako připomínka toho, že i staré kódové základny malwaru zůstávají silnými zbraněmi, pokud se dostanou do rukou zkušených protivníků.
