GodRAT-troijalainen
Kyberrikolliset kohdistavat jälleen iskujaan rahoitusalan organisaatioihin, ja kampanjan kohteena ovat kauppa- ja välitysyritykset, jotka levittävät aiemmin tuntematonta GodRAT-nimistä etäkäyttötroijalaista (RAT). Hyökkäys leviää Skype Messengerin kautta jaettujen haitallisten .SCR-tiedostojen kautta, jotka on naamioitu talousasiakirjoiksi.
Sisällysluettelo
Piilotetut hyötykuormat steganografian avulla
Viimeaikaiset tutkimukset osoittavat, että hyökkääjät käyttävät steganografiaa piilottaakseen komentokoodia kuvatiedostoihin. Nämä piilotetut ohjeet käynnistävät GodRATin latauksen komento- ja hallintapalvelimelta (C2). Todisteet viittaavat siihen, että kampanja on ollut käynnissä 9. syyskuuta 2024 lähtien, ja toimintaa on kirjattu niinkin äskettäin kuin 12. elokuuta 2025. Vaikutusalueita ovat muun muassa Hongkong, Yhdistyneet arabiemiirikunnat, Libanon, Malesia ja Jordania.
Gh0st RATista GodRATiksi
GodRATia pidetään Gh0st RATin nykyaikaisena kehitysaskeleena. Gh0st RAT on troijalainen, jonka lähdekoodi vuodettiin vuonna 2008 ja jota kiinalaiset uhkaryhmät ovat sittemmin ottaneet laajalti käyttöön. Yhtäläisyyksiä on löydetty myös AwesomePuppetin, toisen Gh0st RAT -johdannaisen, kanssa, joka paljastettiin vuonna 2023 ja jonka on liittänyt tuottelias Winnti (APT41) -ryhmä.
Haittaohjelma on suunniteltu laajennuspohjaiseksi, minkä ansiosta se voi kerätä arkaluonteisia tietoja ja ottaa käyttöön lisähyötykuormia, kuten AsyncRAT.
Tartuntaketju ja tekninen erittely
Hyökkäys alkaa .SCR-tiedostoilla, jotka toimivat itsepurkautuvina suoritettavina tiedostoina. Nämä tiedostot sisältävät useita upotettuja komponentteja, mukaan lukien haitallisen DLL-tiedoston, joka on sivuladattu laillisen suoritettavan tiedoston kautta. Tämä DLL hakee .JPG-kuvaan piilotettua komentokoodia, mikä lopulta mahdollistaa GodRATin käyttöönoton.
Kun troijalainen on aktiivinen, se muodostaa yhteyden C2-palvelimeensa TCP:n kautta ja kerää järjestelmätietoja sekä tietoja asennetuista virustorjuntaohjelmista. Lähetettyään nämä tiedot C2-palvelin antaa komentoja. Näiden ohjeiden avulla haittaohjelma voi:
- Lisää vastaanotettu laajennuksen DLL muistiin.
- Lopeta prosessi soketin sulkemisen jälkeen.
- Lataa ja suorita tiedostoja CreateProcessA-rajapinnan avulla.
- Avaa tiettyjä URL-osoitteita Internet Explorerin komennoilla
Ominaisuuksien laajentaminen laajennuksilla
Yksi huomionarvoinen lisäosa, FileManager DLL, antaa hyökkääjille laajan hallinnan uhrin järjestelmään. Se mahdollistaa tiedostojen haun, käsittelyn ja kansioiden selaamisen samalla toimien toissijaisten haittaohjelmien jakelutyökaluna. Vahvistettuihin hyötykuormiin kuuluvat:
- Salasanan varastaja, joka kohdistaa kohteekseen Chrome- ja Edge-selaimia
- AsyncRAT-troijalainen jatkohyökkäyksiä varten
GodRAT-rakentaja ja hyötykuorman vaihtoehdot
Tutkijat paljastivat GodRAT-kehitysohjelman ja sen täyden lähdekoodin, mikä paljasti sen mukautuvuuden. Kehitysohjelma mahdollistaa hyökkääjien luoda joko suoritettavia tiedostoja tai DLL-tiedostoja. Jos suoritettava reitti valitaan, käyttäjät voivat valita laillisia binääritiedostoja koodin injektoimista varten, mukaan lukien svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe ja QQScLauncher.exe.
Tuloksena olevat hyötykuormat voidaan tallentaa eri muodoissa, kuten .exe, .com, .bat, .scr ja .pif.
Perintökoodi, moderni uhka
GodRATin löytyminen korostaa, kuinka vanhat työkalut, kuten lähes kaksi vuosikymmentä sitten käyttöön otettu Gh0st RAT, aiheuttavat edelleen merkittäviä riskejä. Jatkuva mukauttaminen ja uudelleenkäyttö mahdollistavat hyökkääjien pitää nämä työkalut ajan tasalla, mikä varmistaa niiden pitkän aikavälin selviytymisen kyberturvallisuusmaisemassa. GodRAT muistuttaa siitä, että jopa vanhat haittaohjelmakoodikannat ovat edelleen tehokkaita aseita taitavien vastustajien käsissä.
