GodRATi troojalane
Küberkurjategijad on taas sihikule võtnud finantsorganisatsioonid, kusjuures kauplemis- ja maaklerfirmad on kampaania sihtmärgiks, levitades seni tundmatut kaugjuurdepääsuga troojat (RAT) nimega GodRAT. Rünnak levib pahatahtlike .SCR-failide kaudu, mis on maskeeritud finantsdokumentideks ja jagatakse Skype'i Messengeri kaudu.
Sisukord
Varjatud kasulikud koormused steganograafia abil
Hiljutised uurimised näitavad, et ründajad kasutavad steganograafiat, et varjata pildifailides olevat koodi. Need peidetud juhised käivitavad GodRATi allalaadimise juhtimis- ja kontrolliserverist (C2). Tõendid viitavad sellele, et kampaania on kestnud alates 9. septembrist 2024 ning tegevust registreeriti alles 12. augustil 2025. Mõjutatud piirkondade hulka kuuluvad Hongkong, AÜE, Liibanon, Malaisia ja Jordaania.
Gh0st RAT-ist GodRAT-iks
GodRATi peetakse Gh0st RATi tänapäevaseks evolutsiooniks. See troojalane lekkis lähtekoodiga 2008. aastal ja on sellest ajast alates laialdaselt omaks võetud Hiina ohurühmituste poolt. Sarnasusi on leitud ka AwesomePuppetiga, mis on veel üks Gh0st RATi derivaat, mis paljastati 2023. aastal ja mida omistatakse viljakale rühmitusele Winnti (APT41).
Pahavara on loodud pluginate-põhise struktuuriga, mis võimaldab sellel koguda tundlikku teavet ja juurutada täiendavaid kasulikke koormusi, näiteks AsyncRAT-i.
Nakkusahel ja tehniline rike
Rünnak algab .SCR-failidega, mis toimivad ise lahtipakkivate käivitatavate failidena. Need failid sisaldavad mitmeid manustatud komponente, sealhulgas pahatahtlikku DLL-i, mis laaditi külglaadimise teel alla legitiimse käivitatava faili kaudu. See DLL hangib .JPG-pildi sisse peidetud kestakoodi, mis võimaldab lõpuks GodRATi juurutamist.
Kui trooja on aktiivne, loob see TCP kaudu ühenduse oma C2 serveriga, kogudes süsteemiandmeid ja teavet installitud viirusetõrjeprogrammide kohta. Pärast selle teabe edastamist väljastab C2 server käske. Need juhised võimaldavad pahavaral:
- Süstige vastuvõetud plugin DLL mällu.
- Lõpeta selle protsess pärast sokli sulgemist.
- Laadige failid alla ja käivitage need CreateProcessA API abil.
- Avage kindlad URL-id Internet Exploreri käskude abil
Võimaluste laiendamine pluginate abil
Üks tähelepanuväärne plugin, FileManager DLL, annab ründajatele laia kontrolli ohvri süsteemi üle. See võimaldab failide otsinguid, manipuleerimist ja kaustade sirvimist ning toimib ka teisese pahavara levitamise vahendina. Kinnitatud kasulikud load on järgmised:
- Paroolivaras, mis on suunatud Chrome'i ja Edge'i brauseritele
- AsyncRAT trooja edasiseks ärakasutamiseks
GodRATi koostaja ja kasuliku koormuse valikud
Teadlased paljastasid GodRATi koostaja ja täieliku kliendi lähtekoodi, mis näitas selle kohanemisvõimet. Koostaja võimaldab ründajatel genereerida kas käivitatavaid faile või DLL-faile. Kui valitakse käivitatava faili marsruut, saavad kasutajad koodi süstimiseks valida legitiimseid binaarfaile, sealhulgas svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe ja QQScLauncher.exe.
Saadud kasulikku koormust saab salvestada erinevates vormingutes, sealhulgas .exe, .com, .bat, .scr ja .pif.
Pärandkood, tänapäevane oht
GodRATi avastamine toob esile, kuidas sellised vananenud implantaadid nagu Gh0st RAT – mis võeti esmakordselt kasutusele ligi kaks aastakümmet tagasi – kujutavad endast tänapäevalgi suuri riske. Pidev kohandamine ja ümberkujundamine võimaldavad ründajatel neid tööriistu asjakohasena hoida, tagades nende pikaajalise ellujäämise küberturvalisuse maastikul. GodRAT tuletab meelde, et isegi vanad pahavara koodibaasid on oskuslike vastaste kätte sattudes võimsad relvad.
