GodRAT trójai
A kiberbűnözők ismét pénzügyi szervezeteket vettek célba, a kereskedő és brókercégek pedig egy korábban ismeretlen, GodRAT nevű távoli hozzáférésű trójai vírust (RAT) juttattak el a rendszerbe. A támadás pénzügyi dokumentumoknak álcázott, rosszindulatú .SCR fájlokon keresztül terjed, amelyeket Skype Messengeren osztanak meg.
Tartalomjegyzék
Rejtett hasznos terhek szteganográfián keresztül
A legújabb vizsgálatok azt mutatják, hogy a támadók szteganográfiát használnak shellkód elrejtésére a képfájlokban. Ezek a rejtett utasítások indítják el a GodRAT letöltését egy Command-and-Control (C2) szerverről. A bizonyítékok arra utalnak, hogy a kampány 2024. szeptember 9. óta tart, és legutóbb 2025. augusztus 12-én rögzítettek aktivitást. Az érintett régiók közé tartozik Hongkong, az Egyesült Arab Emírségek, Libanon, Malajzia és Jordánia.
Gh0st RAT-től GodRAT-ig
A GodRAT-ot a Gh0st RAT modern evolúciójának tekintik, egy trójai vírusnak, amelynek forráskódja 2008-ban kiszivárgott, és azóta széles körben elterjedt a kínai fenyegető csoportok körében. Hasonlóságokat találtak az AwesomePuppet-tel is, egy másik Gh0st RAT származékkal, amelyet 2023-ban lepleztek le, és a termékeny Winnti (APT41) csoporthoz kötnek.
A rosszindulatú program egy bővítmény-alapú struktúrával készült, amely lehetővé teszi érzékeny információk gyűjtését és további hasznos fájlok, például az AsyncRAT telepítését.
Fertőzéslánc és technikai leállás
A támadás azzal kezdődik, hogy az .SCR fájlok önkicsomagoló futtatható fájlként működnek. Ezek a fájlok több beágyazott komponenst tartalmaznak, beleértve egy rosszindulatú DLL-t, amely egy legitim futtatható fájlon keresztül lett oldalra töltve. Ez a DLL egy .JPG képben rejtett shellkódot kér le, ami végső soron lehetővé teszi a GodRAT telepítését.
Aktiválás után a trójai TCP-n keresztül csatlakozik a C2 szerveréhez, rendszeradatokat és a telepített víruskereső eszközökre vonatkozó információkat gyűjt. Az információk továbbítása után a C2 szerver parancsokat ad ki. Ezek az utasítások lehetővé teszik a rosszindulatú program számára, hogy:
- Befecskendez egy fogadott plugin DLL-t a memóriába.
- A socket bezárása után fejezze be a folyamatot.
- Fájlok letöltése és végrehajtása a CreateProcessA API használatával.
- Megadott URL-ek megnyitása az Internet Explorer parancsaival
Lehetőségek bővítése bővítményekkel
Az egyik figyelemre méltó bővítmény, a FileManager DLL, széleskörű irányítást biztosít a támadóknak az áldozat rendszere felett. Lehetővé teszi a fájlok keresését, kezelését és a mappák böngészését, miközben másodlagos rosszindulatú programok szállítóeszközeként is szolgál. A megerősített hasznos tartalmak a következők:
- Jelszólopó, amely a Chrome és az Edge böngészőket célozza meg
- Az AsyncRAT trójai további kihasználásra vár
GodRAT Builder és hasznos teher opciók
A kutatók feltárták a GodRAT fejlesztő és a teljes kliens forráskódját, feltárva annak alkalmazkodóképességét. A fejlesztő lehetővé teszi a támadók számára, hogy végrehajtható fájlokat vagy DLL-eket generáljanak. Ha a végrehajtható útvonalat választják, a felhasználók legitim bináris fájlokat választhatnak a kód befecskendezéséhez, beleértve az svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe és QQScLauncher.exe fájlokat.
A kapott hasznos adatok különböző formátumokban menthetők, beleértve az .exe, .com, .bat, .scr és .pif fájlokat.
Örökös kód, modern fenyegetés
A GodRAT felfedezése rávilágít arra, hogy az olyan régebbi implantátumok, mint a közel két évtizeddel ezelőtt bevezetett Gh0st RAT, továbbra is jelentős kockázatot jelentenek. Az állandó adaptáció és újrafelhasználás lehetővé teszi a támadók számára, hogy ezeket az eszközöket relevánsnak tartsák, biztosítva hosszú távú fennmaradásukat a kiberbiztonsági környezetben. A GodRAT emlékeztetőül szolgál arra, hogy még a régi rosszindulatú kódbázisok is hatékony fegyverek maradnak, ha képzett ellenfelek kezébe kerülnek.
