Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό GodRAT Trojan

GodRAT Trojan

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT), Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Οι κυβερνοεγκληματίες στοχεύουν για άλλη μια φορά χρηματοπιστωτικούς οργανισμούς, με τις εταιρείες συναλλαγών και χρηματιστηριακών εταιρειών να βρίσκονται στο στόχαστρο μιας εκστρατείας που εξαπλώνει ένα προηγουμένως άγνωστο trojan απομακρυσμένης πρόσβασης (RAT) με το όνομα GodRAT. Η επίθεση εξαπλώνεται μέσω κακόβουλων αρχείων .SCR που μεταμφιέζονται σε οικονομικά έγγραφα, τα οποία κοινοποιούνται μέσω του Skype messenger.

Κρυμμένα ωφέλιμα φορτία μέσω στεγανογραφίας

Πρόσφατες έρευνες δείχνουν ότι οι εισβολείς χρησιμοποιούν στεγανογραφία για να αποκρύψουν τον κώδικα shell μέσα σε αρχεία εικόνας. Αυτές οι κρυφές οδηγίες ενεργοποιούν τη λήψη του GodRAT από έναν διακομιστή Command-and-Control (C2). Τα στοιχεία υποδηλώνουν ότι η εκστρατεία συνεχίζεται από τις 9 Σεπτεμβρίου 2024, με δραστηριότητα που καταγράφηκε μόλις στις 12 Αυγούστου 2025. Οι περιοχές που επηρεάζονται περιλαμβάνουν το Χονγκ Κονγκ, τα ΗΑΕ, τον Λίβανο, τη Μαλαισία και την Ιορδανία.

Από το Ghost RAT στο GodRAT

Το GodRAT θεωρείται μια σύγχρονη εξέλιξη του Gh0st RAT, ενός trojan του οποίου ο πηγαίος κώδικας διέρρευσε το 2008 και έκτοτε έχει υιοθετηθεί ευρέως από κινεζικές ομάδες απειλών. Ομοιότητες έχουν επίσης βρεθεί με το AwesomePuppet, ένα άλλο παράγωγο του Gh0st RAT που αποκαλύφθηκε το 2023 και αποδίδεται στην παραγωγική ομάδα Winnti (APT41).

Το κακόβουλο λογισμικό έχει σχεδιαστεί με μια δομή που βασίζεται σε πρόσθετα (plugins), επιτρέποντάς του να συλλέγει ευαίσθητες πληροφορίες και να αναπτύσσει πρόσθετα ωφέλιμα φορτία όπως το AsyncRAT.

Αλυσίδα μόλυνσης και τεχνική ανάλυση

Η επίθεση ξεκινά με αρχεία .SCR που λειτουργούν ως εκτελέσιμα αρχεία αυτόματης εξαγωγής. Αυτά τα αρχεία περιέχουν πολλά ενσωματωμένα στοιχεία, συμπεριλαμβανομένου ενός κακόβουλου DLL που φορτώνεται μέσω ενός νόμιμου εκτελέσιμου αρχείου. Αυτό το DLL ανακτά τον κώδικα shellcode που είναι κρυμμένος σε μια εικόνα .JPG, η οποία τελικά επιτρέπει την ανάπτυξη του GodRAT.

Μόλις ενεργοποιηθεί, το trojan συνδέεται με τον διακομιστή C2 μέσω TCP, συλλέγοντας δεδομένα συστήματος και λεπτομέρειες σχετικά με τα εγκατεστημένα εργαλεία προστασίας από ιούς. Μετά τη μετάδοση αυτών των πληροφοριών, ο διακομιστής C2 εκδίδει εντολές. Αυτές οι οδηγίες επιτρέπουν στο κακόβουλο λογισμικό να:

  • Εισάγετε ένα ληφθέν DLL πρόσθετου στη μνήμη.
  • Τερματίστε τη διαδικασία αφού κλείσετε την υποδοχή.
  • Λήψη και εκτέλεση αρχείων χρησιμοποιώντας το API CreateProcessA.
  • Άνοιγμα συγκεκριμένων URL μέσω εντολών του Internet Explorer

Επέκταση Δυνατοτήτων με Plugins

Ένα αξιοσημείωτο πρόσθετο, το FileManager DLL, παρέχει στους εισβολείς ευρύ έλεγχο στο σύστημα του θύματος. Επιτρέπει την αναζήτηση αρχείων, τον χειρισμό και την περιήγηση σε φακέλους, ενώ παράλληλα χρησιμεύει ως εργαλείο παράδοσης δευτερογενούς κακόβουλου λογισμικού. Τα επιβεβαιωμένα ωφέλιμα φορτία περιλαμβάνουν:

  • Ένα πρόγραμμα κλοπής κωδικών πρόσβασης που στοχεύει τα προγράμματα περιήγησης Chrome και Edge
  • Το trojan AsyncRAT για περαιτέρω εκμετάλλευση

Επιλογές GodRAT Builder και ωφέλιμου φορτίου

Οι ερευνητές αποκάλυψαν το εργαλείο δημιουργίας GodRAT και τον πλήρη πηγαίο κώδικα του προγράμματος-πελάτη, αποκαλύπτοντας την προσαρμοστικότητά του. Το εργαλείο δημιουργίας επιτρέπει στους εισβολείς να δημιουργούν είτε εκτελέσιμα αρχεία είτε DLL. Εάν επιλεγεί η διαδρομή εκτέλεσης, οι χρήστες μπορούν να επιλέξουν νόμιμα δυαδικά αρχεία για εισαγωγή κώδικα, όπως τα svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe και QQScLauncher.exe.

Τα προκύπτοντα ωφέλιμα φορτία μπορούν να αποθηκευτούν σε διάφορες μορφές, όπως .exe, .com, .bat, .scr και .pif.

Παλαιός κώδικας, σύγχρονη απειλή

Η ανακάλυψη του GodRAT υπογραμμίζει πώς τα παλαιότερα εμφυτεύματα όπως το Gh0st RAT — που εισήχθησαν για πρώτη φορά πριν από σχεδόν δύο δεκαετίες — εξακολουθούν να θέτουν σημαντικούς κινδύνους σήμερα. Η συνεχής προσαρμογή και η επαναχρησιμοποίηση επιτρέπουν στους εισβολείς να διατηρούν αυτά τα εργαλεία επίκαιρα, διασφαλίζοντας τη μακροπρόθεσμη επιβίωσή τους στο τοπίο της κυβερνοασφάλειας. Το GodRAT χρησιμεύει ως υπενθύμιση ότι ακόμη και οι παλιές βάσεις κώδικα κακόβουλου λογισμικού παραμένουν ισχυρά όπλα όταν τίθενται στα χέρια έμπειρων αντιπάλων.

Τάσεις

Marmose.app

Κακόβουλο λογισμικό Mac, Adware, Πιθανώς ανεπιθύμητα προγράμματα
Στο εξελισσόμενο τοπίο της κυβερνοασφάλειας, οι χρήστες Mac δεν είναι άτρωτοι στις τακτικές των ψηφιακών εισβολέων. Τα Δυνητικά Ανεπιθύμητα Προγράμματα (PUP) ενδέχεται να αποτελέσουν σοβαρές...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
36,059
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...