GodRAT Trojan
Penjenayah siber sekali lagi menyasarkan organisasi kewangan, dengan firma perdagangan dan pembrokeran dalam kempen yang menyampaikan trojan akses jauh (RAT) yang tidak dikenali sebelum ini bernama GodRAT. Serangan itu merebak melalui fail .SCR berniat jahat yang menyamar sebagai dokumen kewangan, dikongsi melalui Skype messenger.
Isi kandungan
Muatan Tersembunyi Melalui Steganografi
Siasatan terkini menunjukkan bahawa penyerang menggunakan steganografi untuk menyembunyikan kod shell dalam fail imej. Arahan tersembunyi ini mencetuskan muat turun GodRAT daripada pelayan Command-and-Control (C2). Bukti menunjukkan bahawa kempen itu telah dijalankan sejak 9 September 2024, dengan aktiviti direkodkan baru-baru ini pada 12 Ogos 2025. Wilayah yang terjejas termasuk Hong Kong, UAE, Lubnan, Malaysia dan Jordan.
Daripada Gh0st RAT kepada GodRAT
GodRAT dianggap sebagai evolusi moden Gh0st RAT, sebuah trojan yang kod sumbernya bocor pada tahun 2008 dan sejak itu telah diterima pakai secara meluas oleh kumpulan ancaman China. Persamaan juga ditemui dengan AwesomePuppet, satu lagi terbitan Gh0st RAT yang didedahkan pada 2023 dan dikaitkan dengan kumpulan prolifik Winnti (APT41).
Perisian hasad direka bentuk dengan struktur berasaskan pemalam, membolehkannya menuai maklumat sensitif dan menggunakan muatan tambahan seperti AsyncRAT.
Rantaian Jangkitan dan Pecahan Teknikal
Serangan bermula dengan fail .SCR bertindak sebagai boleh laku mengekstrak sendiri. Fail ini mengandungi berbilang komponen terbenam, termasuk DLL berniat jahat yang dimuatkan melalui boleh laku yang sah. DLL ini mendapatkan semula kod shell yang tersembunyi dalam imej .JPG, yang akhirnya membolehkan penggunaan GodRAT.
Setelah aktif, trojan menyambung ke pelayan C2nya melalui TCP, mengumpulkan data sistem dan butiran tentang alat antivirus yang dipasang. Selepas menghantar maklumat ini, pelayan C2 mengeluarkan arahan. Arahan ini membenarkan perisian hasad untuk:
- Suntikan DLL pemalam yang diterima ke dalam memori.
- Tamatkan prosesnya selepas menutup soket.
- Muat turun dan laksanakan fail menggunakan API CreateProcessA.
- Buka URL tertentu melalui arahan Internet Explorer
Meluaskan Keupayaan dengan Pemalam
Satu pemalam yang terkenal, FileManager DLL, memberikan penyerang kawalan luas ke atas sistem mangsa. Ia membolehkan carian fail, manipulasi dan penyemakan imbas folder sambil juga berfungsi sebagai alat penghantaran untuk perisian hasad sekunder. Muatan yang disahkan termasuk:
- Pencuri kata laluan yang menyasarkan penyemak imbas Chrome dan Edge
- Trojan AsyncRAT untuk eksploitasi selanjutnya
Pilihan Pembina dan Muatan GodRAT
Penyelidik menemui pembina GodRAT dan kod sumber pelanggan penuh, mendedahkan kebolehsuaiannya. Pembina membenarkan penyerang menjana sama ada boleh laku atau DLL. Jika laluan boleh laku dipilih, pengguna boleh memilih binari yang sah untuk suntikan kod, termasuk svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe dan QQScLauncher.exe.
Muatan yang terhasil boleh disimpan dalam pelbagai format, termasuk .exe, .com, .bat, .scr dan .pif.
Kod Warisan, Ancaman Moden
Penemuan GodRAT menyerlahkan bagaimana implan warisan seperti Gh0st RAT—yang pertama kali diperkenalkan hampir dua dekad lalu, masih menimbulkan risiko besar hari ini. Penyesuaian berterusan dan penggunaan semula membolehkan penyerang mengekalkan alat ini relevan, memastikan kelangsungan jangka panjang mereka dalam landskap keselamatan siber. GodRAT berfungsi sebagai peringatan bahawa walaupun pangkalan kod perisian hasad lama kekal sebagai senjata yang berkuasa apabila diletakkan di tangan musuh yang mahir.
