GodRAT Trojas zirgs
Kibernoziedznieki atkal uzbrūk finanšu organizācijām, un kampaņas tēmēkļos nonāk tirdzniecības un brokeru firmas, kas izplata iepriekš nezināmu attālās piekļuves Trojas zirgu (RAT) ar nosaukumu GodRAT. Uzbrukums izplatās, izmantojot ļaunprātīgus .SCR failus, kas maskēti kā finanšu dokumenti un tiek koplietoti, izmantojot Skype Messenger.
Satura rādītājs
Slēptās lietderīgās slodzes, izmantojot steganogrāfiju
Jaunākās izmeklēšanas liecina, ka uzbrucēji izmanto steganogrāfiju, lai attēlu failos paslēptu apvalka kodu. Šīs slēptās instrukcijas aktivizē GodRAT lejupielādi no vadības un kontroles (C2) servera. Pierādījumi liecina, ka kampaņa notiek kopš 2024. gada 9. septembra, un aktivitāte tika reģistrēta tikai 2025. gada 12. augustā. Skartie reģioni ir Honkonga, AAE, Libāna, Malaizija un Jordānija.
No Gh0st RAT līdz GodRAT
GodRAT tiek uzskatīts par Gh0st RAT mūsdienu evolūciju. Gh0st RAT ir Trojas zirgs, kura pirmkods noplūda 2008. gadā un kopš tā laika to plaši izmanto Ķīnas draudu grupas. Līdzības ir konstatētas arī ar AwesomePuppet, vēl vienu Gh0st RAT atvasinājumu, kas tika atklāts 2023. gadā un tiek piedēvēts ražīgajai grupai Winnti (APT41).
Ļaunprogrammatūra ir izstrādāta ar spraudņu struktūru, kas ļauj tai apkopot sensitīvu informāciju un izvietot papildu vērtumus, piemēram, AsyncRAT.
Infekcijas ķēde un tehniskais sadalījums
Uzbrukums sākas ar .SCR failiem, kas darbojas kā pašizgūstoši izpildāmie faili. Šie faili satur vairākus iegultus komponentus, tostarp ļaunprātīgu DLL, kas ielādēta, izmantojot likumīgu izpildāmo failu. Šis DLL izgūst .JPG attēlā paslēptu apvalka kodu, kas galu galā ļauj izvietot GodRAT.
Kad Trojas zirgs ir aktīvs, tas izveido savienojumu ar savu C2 serveri, izmantojot TCP, apkopojot sistēmas datus un informāciju par instalētajiem pretvīrusu rīkiem. Pēc šīs informācijas nosūtīšanas C2 serveris izdod komandas. Šīs instrukcijas ļauj ļaunprogrammatūrai:
- Ievadīt atmiņā saņemto spraudņa DLL.
- Pēc ligzdas aizvēršanas pārtrauciet procesu.
- Lejupielādējiet un izpildiet failus, izmantojot CreateProcessA API.
- Atveriet noteiktus URL, izmantojot Internet Explorer komandas
Iespēju paplašināšana ar spraudņiem
Viens ievērojams spraudnis, FileManager DLL, piešķir uzbrucējiem plašu kontroli pār upura sistēmu. Tas ļauj meklēt failus, manipulēt ar tiem un pārlūkot mapes, vienlaikus kalpojot arī kā sekundāras ļaunprogrammatūras piegādes rīks. Apstiprinātās lietderīgās slodzes ietver:
- Paroļu zaglis, kas mērķēts uz pārlūkprogrammām Chrome un Edge
- AsyncRAT Trojas zirgs tālākai izmantošanai
GodRAT veidotājs un lietderīgās slodzes opcijas
Pētnieki atklāja GodRAT veidotāju un pilnu klienta pirmkodu, atklājot tā pielāgošanās spējas. Veidotājs ļauj uzbrucējiem ģenerēt vai nu izpildāmos failus, vai DLL failus. Ja tiek izvēlēts izpildāmā faila maršruts, lietotāji koda injekcijai var izvēlēties likumīgus bināros failus, tostarp svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe un QQScLauncher.exe.
Iegūtās vērtuma slodzes var saglabāt dažādos formātos, tostarp .exe, .com, .bat, .scr un .pif.
Mantotais kods, mūsdienu draudi
GodRAT atklāšana izceļ, kā tādi novecojuši implanti kā Gh0st RAT, kas pirmo reizi tika ieviesti gandrīz pirms divām desmitgadēm, joprojām rada nopietnus riskus. Pastāvīga pielāgošana un pārprofilēšana ļauj uzbrucējiem saglabāt šo rīku aktualitāti, nodrošinot to ilgtermiņa izdzīvošanu kiberdrošības ainavā. GodRAT kalpo kā atgādinājums, ka pat vecas ļaunprogrammatūras kodu bāzes joprojām ir spēcīgi ieroči, ja tās nonāk prasmīgu pretinieku rokās.
