تروجان GodRAT

مجرمان سایبری بار دیگر سازمان‌های مالی را هدف قرار داده‌اند و شرکت‌های معاملاتی و کارگزاری در تیررس کمپینی هستند که یک تروجان دسترسی از راه دور (RAT) ناشناخته به نام GodRAT را ارائه می‌دهد. این حمله از طریق فایل‌های مخرب .SCR که به عنوان اسناد مالی پنهان شده‌اند و از طریق پیام‌رسان اسکایپ به اشتراک گذاشته می‌شوند، گسترش می‌یابد.

بارهای پنهان از طریق استگانوگرافی

تحقیقات اخیر نشان می‌دهد که مهاجمان از استگانوگرافی برای پنهان کردن shellcode در فایل‌های تصویری استفاده می‌کنند. این دستورالعمل‌های پنهان، دانلود GodRAT را از یک سرور Command-and-Control (C2) آغاز می‌کنند. شواهد نشان می‌دهد که این کمپین از 9 سپتامبر 2024 ادامه داشته و فعالیت آن تا 12 آگوست 2025 ثبت شده است. مناطق تحت تأثیر شامل هنگ کنگ، امارات متحده عربی، لبنان، مالزی و اردن هستند.

از Gh0st RAT تا GodRAT

GodRAT تکامل مدرن Gh0st RAT محسوب می‌شود، تروجانی که کد منبع آن در سال ۲۰۰۸ فاش شد و از آن زمان به طور گسترده توسط گروه‌های تهدید چینی مورد استفاده قرار گرفته است. شباهت‌هایی نیز با AwesomePuppet، یکی دیگر از مشتقات Gh0st RAT که در سال ۲۰۲۳ افشا شد و به گروه فعال Winnti (APT41) نسبت داده می‌شود، یافت شده است.

این بدافزار با ساختاری مبتنی بر افزونه طراحی شده است که آن را قادر می‌سازد تا اطلاعات حساس را جمع‌آوری کرده و بارهای داده اضافی مانند AsyncRAT را مستقر کند.

زنجیره عفونت و تجزیه و تحلیل فنی

حمله با فایل‌های .SCR که به عنوان فایل‌های اجرایی خود استخراج شونده عمل می‌کنند، آغاز می‌شود. این فایل‌ها حاوی چندین جزء جاسازی شده، از جمله یک DLL مخرب هستند که از طریق یک فایل اجرایی قانونی بارگذاری شده است. این DLL، shellcode پنهان شده در یک تصویر .JPG را بازیابی می‌کند که در نهایت امکان استقرار GodRAT را فراهم می‌کند.

پس از فعال شدن، تروجان از طریق TCP به سرور C2 خود متصل می‌شود و داده‌های سیستم و جزئیات مربوط به ابزارهای آنتی‌ویروس نصب‌شده را جمع‌آوری می‌کند. پس از انتقال این اطلاعات، سرور C2 دستوراتی را صادر می‌کند. این دستورالعمل‌ها به بدافزار اجازه می‌دهند تا:

• تزریق یک DLL افزونه دریافتی به حافظه.
• پس از بستن سوکت، فرآیند آن را خاتمه دهید.
• دانلود و اجرای فایل‌ها با استفاده از API مربوط به CreateProcessA.
• باز کردن URL های خاص از طریق دستورات Internet Explorer

گسترش قابلیت‌ها با افزونه‌ها

یکی از افزونه‌های قابل توجه، FileManager DLL، به مهاجمان کنترل گسترده‌ای بر سیستم قربانی می‌دهد. این افزونه امکان جستجوی فایل‌ها، دستکاری و مرور پوشه‌ها را فراهم می‌کند و در عین حال به عنوان ابزاری برای انتقال بدافزار ثانویه نیز عمل می‌کند. موارد تأیید شده عبارتند از:

• یک دزد رمز عبور که مرورگرهای کروم و اج را هدف قرار می‌دهد
• تروجان AsyncRAT برای بهره‌برداری بیشتر

گزینه‌های سازنده و بار داده GodRAT

محققان سازنده‌ی GodRAT و کد منبع کامل کلاینت آن را کشف کردند و قابلیت انطباق‌پذیری آن را آشکار ساختند. سازنده به مهاجمان اجازه می‌دهد تا فایل‌های اجرایی یا DLL تولید کنند. اگر مسیر اجرایی انتخاب شود، کاربران ممکن است فایل‌های باینری قانونی را برای تزریق کد، از جمله svchost.exe، cmd.exe، cscript.exe، curl.exe، wscript.exe، QQMusic.exe و QQScLauncher.exe، انتخاب کنند.

فایل‌های مخرب حاصل ممکن است در قالب‌های مختلفی از جمله ‎.exe‎، ‎.com‎، ‎.bat‎، ‎.scr‎ و ‎.pif‎ ذخیره شوند.

کد قدیمی، تهدید مدرن

کشف GodRAT نشان می‌دهد که چگونه بدافزارهای قدیمی مانند Gh0st RAT که اولین بار تقریباً دو دهه پیش معرفی شدند، هنوز هم خطرات بزرگی را ایجاد می‌کنند. سازگاری و تغییر مداوم کاربری به مهاجمان اجازه می‌دهد تا این ابزارها را مرتبط نگه دارند و بقای طولانی مدت خود را در عرصه امنیت سایبری تضمین کنند. GodRAT به عنوان یادآوری است که حتی کدهای بدافزارهای قدیمی نیز وقتی در دست دشمنان ماهر قرار می‌گیرند، همچنان سلاح‌های قدرتمندی هستند.