„GodRAT“ Trojos arklys
Kibernetiniai nusikaltėliai vėl taikosi į finansų organizacijas, o prekybos ir tarpininkavimo įmonės atsidūrė kampanijos taikinyje, pristatydamos anksčiau nežinomą nuotolinės prieigos Trojos arklį (RAT), vadinamą „GodRAT“. Ataka plinta per kenkėjiškus .SCR failus, užmaskuotus kaip finansiniai dokumentai, kurie bendrinami per „Skype“ pranešimų programą.
Turinys
Paslėptos naudingosios apkrovos naudojant steganografiją
Naujausi tyrimai rodo, kad užpuolikai naudoja steganografiją, kad paslėptų apvalkalo kodą vaizdo failuose. Šios paslėptos instrukcijos suaktyvina „GodRAT“ atsisiuntimą iš komandų ir kontrolės (C2) serverio. Įrodymai rodo, kad kampanija vyksta nuo 2024 m. rugsėjo 9 d., o aktyvumas užfiksuotas tik 2025 m. rugpjūčio 12 d. Paveikti regionai yra Honkongas, JAE, Libanas, Malaizija ir Jordanija.
Nuo „Gh0st RAT“ iki „GodRAT“
„GodRAT“ laikomas šiuolaikine „Gh0st RAT“ evoliucija – tai Trojos arklys, kurio išeities kodas nutekėjo 2008 m. ir nuo to laiko plačiai pritaikė Kinijos grėsmių grupės. Panašumų taip pat rasta su „AwesomePuppet“ – kitu „Gh0st RAT“ dariniu, kuris buvo atskleistas 2023 m. ir priskiriamas produktyviai grupei „Winnti“ (APT41).
Kenkėjiška programa sukurta naudojant papildinių struktūrą, leidžiančią jai rinkti jautrią informaciją ir diegti papildomus paketus, tokius kaip „AsyncRAT“.
Infekcijos grandinė ir techninis gedimas
Ataka prasideda nuo .SCR failų, kurie veikia kaip savaime išsiskleidžiantys vykdomieji failai. Šiuose failuose yra daug įterptųjų komponentų, įskaitant kenkėjišką DLL failą, įkeltą per teisėtą vykdomąjį failą. Šis DLL failas nuskaito .JPG formato paveikslėlyje paslėptą apvalkalo kodą, kuris galiausiai leidžia įdiegti „GodRAT“.
Kai Trojos arklys tampa aktyvus, jis prisijungia prie savo C2 serverio per TCP ir renka sistemos duomenis bei informaciją apie įdiegtas antivirusines programas. Perdavęs šią informaciją, C2 serveris siunčia komandas. Šios instrukcijos leidžia kenkėjiškai programai:
- Įterpti gautą įskiepio DLL į atmintį.
- Uždarę lizdą, nutraukite procesą.
- Atsisiųskite ir vykdykite failus naudodami „CreateProcessA“ API.
- Atidaryti konkrečius URL naudojant „Internet Explorer“ komandas
Galimybių išplėtimas naudojant papildinius
Vienas pastebimas papildinys „FileManager DLL“ suteikia užpuolikams plačią aukos sistemos kontrolę. Jis leidžia ieškoti failų, juos manipuliuoti ir naršyti aplankuose, tuo pačiu metu tarnaudamas kaip antrinės kenkėjiškos programos platinimo įrankis. Patvirtinti naudingieji failai:
- Slaptažodžių vagis, skirtas „Chrome“ ir „Edge“ naršyklėms
- „AsyncRAT“ Trojos arklys, skirtas tolesniam išnaudojimui
„GodRAT“ kūrimo priemonė ir naudingosios apkrovos parinktys
Tyrėjai atskleidė „GodRAT“ kūrimo priemonės ir viso kliento šaltinio kodą, atskleisdami jos pritaikomumą. Kūrimo priemonė leidžia užpuolikams generuoti vykdomuosius failus arba DLL failus. Pasirinkus vykdomojo failo maršrutą, vartotojai gali pasirinkti teisėtus dvejetainius failus kodo injekcijai, įskaitant svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe ir QQScLauncher.exe.
Gauti naudingieji duomenys gali būti išsaugoti įvairiais formatais, įskaitant .exe, .com, .bat, .scr ir .pif.
Paliktas kodas, šiuolaikinė grėsmė
„GodRAT“ atradimas pabrėžia, kaip seni implantai, tokie kaip „Gh0st RAT“, pirmą kartą pristatyti beveik prieš du dešimtmečius, vis dar kelia didelę riziką. Nuolatinis pritaikymas ir paskirties keitimas leidžia užpuolikams išlaikyti šiuos įrankius aktualius, užtikrinant jų ilgalaikį išlikimą kibernetinio saugumo aplinkoje. „GodRAT“ primena, kad net senos kenkėjiškų programų kodų bazės išlieka galingais ginklais, kai patenka į kvalifikuotų priešininkų rankas.
