Trojanac GodRAT
Kibernetički kriminalci ponovno ciljaju financijske organizacije, a trgovačke i brokerske tvrtke na meti su kampanje koja isporučuje prethodno nepoznatog trojanca za udaljeni pristup (RAT) pod nazivom GodRAT. Napad se širi putem zlonamjernih .SCR datoteka prikrivenih kao financijske dokumente, dijeljenih putem Skype messengera.
Sadržaj
Skriveni korisni tereti putem steganografije
Nedavne istrage pokazuju da napadači koriste steganografiju kako bi sakrili shellcode unutar slikovnih datoteka. Ove skrivene upute pokreću preuzimanje GodRAT-a s Command-and-Control (C2) poslužitelja. Dokazi upućuju na to da kampanja traje od 9. rujna 2024., a aktivnost je zabilježena sve do 12. kolovoza 2025. Pogođene regije uključuju Hong Kong, UAE, Libanon, Maleziju i Jordan.
Od Gh0st RAT-a do GodRAT-a
GodRAT se smatra modernom evolucijom Gh0st RAT-a, trojanca čiji je izvorni kod procurio 2008. godine, a od tada su ga široko usvojile kineske prijetnje. Sličnosti su pronađene i s AwesomePuppetom, još jednim derivatom Gh0st RAT-a otkrivenim 2023. godine i pripisanim plodnoj grupi Winnti (APT41).
Zlonamjerni softver dizajniran je sa strukturom temeljenom na dodacima, što mu omogućuje prikupljanje osjetljivih informacija i primjenu dodatnih korisnih sadržaja poput AsyncRAT-a.
Lanac infekcije i tehnički slom
Napad započinje s .SCR datotekama koje djeluju kao samoraspakirajuće izvršne datoteke. Ove datoteke sadrže više ugrađenih komponenti, uključujući zlonamjerni DLL koji se učitava putem legitimne izvršne datoteke. Ovaj DLL dohvaća shellcode skriven u .JPG slici, što u konačnici omogućuje implementaciju GodRAT-a.
Nakon što je aktivan, trojanac se povezuje sa svojim C2 serverom putem TCP-a, prikupljajući sistemske podatke i detalje o instaliranim antivirusnim alatima. Nakon prijenosa tih informacija, C2 server izdaje naredbe. Ove upute omogućuju zlonamjernom softveru da:
- Ubacite primljeni DLL dodataka u memoriju.
- Završite proces nakon zatvaranja socketa.
- Preuzmite i izvršite datoteke pomoću CreateProcessA API-ja.
- Otvaranje određenih URL-ova putem naredbi Internet Explorera
Proširivanje mogućnosti pomoću dodataka
Jedan značajan dodatak, FileManager DLL, daje napadačima široku kontrolu nad sustavom žrtve. Omogućuje pretraživanje datoteka, manipulaciju i pregledavanje mapa, a istovremeno služi kao alat za isporuku sekundarnog zlonamjernog softvera. Potvrđeni korisni sadržaji uključuju:
- Kradljivac lozinki cilja preglednike Chrome i Edge
- Trojanac AsyncRAT za daljnje iskorištavanje
GodRAT Builder i opcije korisnog tereta
Istraživači su otkrili GodRAT-ov alat za izradu i puni izvorni kod klijenta, otkrivajući njegovu prilagodljivost. Alat za izradu omogućuje napadačima generiranje izvršnih datoteka ili DLL-ova. Ako se odabere izvršna ruta, korisnici mogu odabrati legitimne binarne datoteke za ubrizgavanje koda, uključujući svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe i QQScLauncher.exe.
Rezultirajući korisni sadržaji mogu se spremiti u raznim formatima, uključujući .exe, .com, .bat, .scr i .pif.
Zastarjeli kod, moderna prijetnja
Otkriće GodRAT-a naglašava kako naslijeđeni implantati poput Gh0st RAT-a - prvi put predstavljenog prije gotovo dva desetljeća, i danas predstavljaju velike rizike. Stalna prilagodba i prenamjena omogućuju napadačima da ove alate održe relevantnima, osiguravajući njihov dugoročni opstanak u krajoliku kibernetičke sigurnosti. GodRAT služi kao podsjetnik da čak i stare baze kodova zlonamjernog softvera ostaju moćno oružje kada se stave u ruke vještih protivnika.
