GodRAT Trojan

साइबर अपराधी एक बार फिर वित्तीय संस्थाओं को निशाना बना रहे हैं, ट्रेडिंग और ब्रोकरेज फर्मों पर GodRAT नामक एक पहले से अज्ञात रिमोट एक्सेस ट्रोजन (RAT) का हमला हो रहा है। यह हमला वित्तीय दस्तावेज़ों के रूप में प्रच्छन्न दुर्भावनापूर्ण .SCR फ़ाइलों के माध्यम से फैलता है, जिन्हें स्काइप मैसेंजर के माध्यम से साझा किया जाता है।

स्टेग्नोग्राफ़ी के माध्यम से छिपे हुए पेलोड

हालिया जाँच से पता चलता है कि हमलावर इमेज फ़ाइलों में शेलकोड छिपाने के लिए स्टेग्नोग्राफ़ी का इस्तेमाल कर रहे हैं। ये छिपे हुए निर्देश कमांड-एंड-कंट्रोल (C2) सर्वर से GodRAT को डाउनलोड करने के लिए प्रेरित करते हैं। साक्ष्य बताते हैं कि यह अभियान 9 सितंबर, 2024 से चल रहा है, और इसकी गतिविधि 12 अगस्त, 2025 तक दर्ज की गई है। प्रभावित क्षेत्रों में हांगकांग, संयुक्त अरब अमीरात, लेबनान, मलेशिया और जॉर्डन शामिल हैं।

Gh0st RAT से GodRAT तक

GodRAT को Gh0st RAT का आधुनिक रूप माना जाता है, जो एक ट्रोजन है जिसका सोर्स कोड 2008 में लीक हो गया था और तब से चीनी ख़तरा समूहों द्वारा व्यापक रूप से अपनाया जा रहा है। इसकी समानताएँ AwesomePuppet से भी पाई गई हैं, जो Gh0st RAT का एक और व्युत्पन्न है और 2023 में सामने आया था और जिसका श्रेय विंट्टी (APT41) नामक एक विपुल समूह को दिया जाता है।

मैलवेयर को प्लगइन-आधारित संरचना के साथ डिज़ाइन किया गया है, जिससे यह संवेदनशील जानकारी एकत्र कर सकता है और AsyncRAT जैसे अतिरिक्त पेलोड तैनात कर सकता है।

संक्रमण श्रृंखला और तकनीकी खराबी

यह हमला .SCR फ़ाइलों से शुरू होता है जो स्व-निष्कासित निष्पादन योग्य फ़ाइलों के रूप में कार्य करती हैं। इन फ़ाइलों में कई एम्बेडेड घटक होते हैं, जिनमें एक वैध निष्पादन योग्य फ़ाइल के माध्यम से साइडलोड किया गया एक दुर्भावनापूर्ण DLL भी शामिल है। यह DLL एक .JPG छवि में छिपे शेलकोड को पुनर्प्राप्त करता है, जो अंततः GodRAT के परिनियोजन को सक्षम बनाता है।

सक्रिय होने के बाद, ट्रोजन TCP के माध्यम से अपने C2 सर्वर से जुड़ता है और सिस्टम डेटा और इंस्टॉल किए गए एंटीवायरस टूल्स की जानकारी इकट्ठा करता है। यह जानकारी भेजने के बाद, C2 सर्वर कमांड जारी करता है। ये निर्देश मैलवेयर को ये करने की अनुमति देते हैं:

• प्राप्त प्लगइन DLL को मेमोरी में इंजेक्ट करें।
• सॉकेट बंद करने के बाद इसकी प्रक्रिया समाप्त करें।
• CreateProcessA API का उपयोग करके फ़ाइलें डाउनलोड और निष्पादित करें।
• इंटरनेट एक्सप्लोरर कमांड के माध्यम से विशिष्ट URL खोलें

प्लगइन्स के साथ क्षमताओं का विस्तार

एक उल्लेखनीय प्लगइन, FileManager DLL, हमलावरों को पीड़ित के सिस्टम पर व्यापक नियंत्रण प्रदान करता है। यह फ़ाइल खोज, हेरफेर और फ़ोल्डर ब्राउज़िंग को सक्षम बनाता है, साथ ही द्वितीयक मैलवेयर के लिए एक डिलीवरी टूल के रूप में भी काम करता है। पुष्टि किए गए पेलोड में शामिल हैं:

• क्रोम और एज ब्राउज़र को निशाना बनाकर पासवर्ड चुराने वाला
• आगे के शोषण के लिए AsyncRAT ट्रोजन

GodRAT बिल्डर और पेलोड विकल्प

शोधकर्ताओं ने GodRAT बिल्डर और संपूर्ण क्लाइंट सोर्स कोड का खुलासा किया, जिससे इसकी अनुकूलन क्षमता का पता चला। यह बिल्डर हमलावरों को या तो एक्ज़ीक्यूटेबल या DLL उत्पन्न करने की अनुमति देता है। यदि एक्ज़ीक्यूटेबल रूट चुना जाता है, तो उपयोगकर्ता कोड इंजेक्शन के लिए वैध बाइनरी चुन सकते हैं, जिनमें svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe, और QQScLauncher.exe शामिल हैं।

परिणामी पेलोड को विभिन्न प्रारूपों में सहेजा जा सकता है, जिनमें .exe, .com, .bat, .scr, और .pif शामिल हैं।

विरासत कोड, आधुनिक खतरा

GodRAT की खोज इस बात पर प्रकाश डालती है कि लगभग दो दशक पहले पहली बार पेश किए गए Gh0st RAT जैसे पुराने उपकरण आज भी कितने बड़े खतरे पैदा करते हैं। निरंतर अनुकूलन और पुनर्प्रयोजन से हमलावर इन उपकरणों को प्रासंगिक बनाए रख पाते हैं, जिससे साइबर सुरक्षा परिदृश्य में इनका दीर्घकालिक अस्तित्व सुनिश्चित होता है। GodRAT एक अनुस्मारक के रूप में कार्य करता है कि कुशल विरोधियों के हाथों में रखे जाने पर पुराने मैलवेयर कोडबेस भी शक्तिशाली हथियार बने रहते हैं।