הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית סוס טרויאני GodRAT

סוס טרויאני GodRAT

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT), כלי ניהול מרחוק
לתרגם ל:

פושעי סייבר שוב מכוונים לארגונים פיננסיים, כאשר חברות מסחר וברוקראז' נמצאות במוקד קמפיין המספק טרויאן גישה מרחוק (RAT) בשם GodRAT, שלא היה מוכר קודם לכן. ההתקפה מתפשטת באמצעות קבצי .SCR זדוניים במסווה של מסמכים פיננסיים, המשותפים דרך Skype Messenger.

מטענים נסתרים באמצעות סטגנוגרפיה

חקירות אחרונות מראות כי התוקפים משתמשים בסטגנוגרפיה כדי להסתיר קוד מעטפת בתוך קבצי תמונה. הוראות נסתרות אלו מפעילות הורדה של GodRAT משרת פיקוד ובקרה (C2). עדויות מצביעות על כך שהקמפיין נמשך מאז ה-9 בספטמבר 2024, כאשר הפעילות תועדה לאחרונה ב-12 באוגוסט 2025. האזורים שנפגעו כוללים את הונג קונג, איחוד האמירויות הערביות, לבנון, מלזיה וירדן.

מ-Ghost RAT ל-God RAT

GodRAT נחשב לאבולוציה מודרנית של Gh0st RAT, סוס טרויאני שקוד המקור שלו דלף בשנת 2008 ומאז אומץ באופן נרחב על ידי קבוצות איום סיניות. קווי דמיון נמצאו גם עם AwesomePuppet, נגזרת נוספת של Gh0st RAT שנחשפה בשנת 2023 ומיוחסת לקבוצה הפורה Winnti (APT41).

הנוזקה מתוכננת עם מבנה מבוסס תוספים, המאפשר לה לאסוף מידע רגיש ולפרוס מטענים נוספים כגון AsyncRAT.

שרשרת הדבקה ופירוק טכני

ההתקפה מתחילה בקבצי .SCR הפועלים כקבצי הרצה בעלי חילוץ עצמי. קבצים אלה מכילים רכיבים משובצים מרובים, כולל DLL זדוני שנטען בצד דרך קובץ הרצה לגיטימי. קובץ DLL זה מאחזר קוד מעטפת מוסתר בתמונת .JPG, מה שמאפשר בסופו של דבר את פריסת GodRAT.

לאחר פעילותו, הטרויאני מתחבר לשרת C2 שלו דרך TCP, אוסף נתוני מערכת ופרטים על כלי האנטי-וירוס המותקנים. לאחר שידור מידע זה, שרת ה-C2 מבצע פקודות. הוראות אלו מאפשרות לתוכנה הזדונית:

  • הזרק לזיכרון קובץ DLL של תוסף שהתקבל.
  • סיים את התהליך לאחר סגירת ה-socket.
  • הורד והפעל קבצים באמצעות ממשק ה-API של CreateProcessA.
  • פתיחת כתובות URL ספציפיות באמצעות פקודות של Internet Explorer

הרחבת יכולות בעזרת תוספים

תוסף בולט אחד, FileManager DLL, מעניק לתוקפים שליטה רחבה על מערכת הקורבן. הוא מאפשר חיפוש קבצים, מניפולציה ועיון בתיקיות, ובמקביל משמש ככלי להעברה של תוכנות זדוניות משניות. בין המטענים שאושרו:

  • גנב סיסמאות המכוון לדפדפני Chrome ו-Edge
  • הטרויאן AsyncRAT לניצול נוסף

בונה GodRAT ואפשרויות מטען

חוקרים חשפו את בונה הקוד GodRAT ואת קוד המקור המלא של הלקוח, וחשפו את יכולת ההסתגלות שלו. הבונה מאפשר לתוקפים ליצור קבצי הרצה או קבצי DLL. אם נבחר נתיב הרצה, משתמשים יכולים לבחור קבצים בינאריים לגיטימיים להזרקת קוד, כולל svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe ו-QQScLauncher.exe.

ניתן לשמור את המטענים המתקבלים בפורמטים שונים, כולל .exe, .com, .bat, .scr ו- .pif.

קוד מדור קודם, איום מודרני

גילוי GodRAT מדגיש כיצד שתלים מדור קודם כמו Gh0st RAT - שהוצגו לראשונה לפני כמעט שני עשורים, עדיין מהווים סיכונים משמעותיים כיום. התאמה מתמדת ושימוש חוזר מאפשרים לתוקפים לשמור על רלוונטיות של כלים אלה, מה שמבטיח את הישרדותם לטווח ארוך בנוף אבטחת הסייבר. GodRAT משמש כתזכורת לכך שאפילו בסיסי קוד ישנים של תוכנות זדוניות נותרים כלי נשק רבי עוצמה כאשר הם מופקדים בידי יריבים מיומנים.

מגמות

Marmose.app

תוכנות זדוניות של Mac, תוכנות פרסום, תוכניות שעלולות להיות לא רצויות
בנוף אבטחת הסייבר המתפתח, משתמשי מק אינם חסינים מפני טקטיקות של פולשים דיגיטליים. תוכניות פוטנציאליות לא רצויות (PUPs) עלולות להוות איומים חמורים על ידי פגיעה בשלמות המכשיר, חדירה לפרטיות המשתמש...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
36,059
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...