GodRAT Trojan
Nettkriminelle sikter seg nok en gang mot finansorganisasjoner, med handels- og meglerfirmaer i søkelyset etter en kampanje som leverer en tidligere ukjent fjerntilgangstrojaner (RAT) kalt GodRAT. Angrepet sprer seg gjennom ondsinnede .SCR-filer kamuflert som økonomiske dokumenter, delt via Skype Messenger.
Innholdsfortegnelse
Skjulte nyttelaster gjennom steganografi
Nyere undersøkelser viser at angriperne bruker steganografi for å skjule skallkode i bildefiler. Disse skjulte instruksjonene utløser nedlasting av GodRAT fra en kommando-og-kontroll (C2)-server. Bevis tyder på at kampanjen har pågått siden 9. september 2024, med aktivitet registrert så sent som 12. august 2025. Berørte regioner inkluderer Hongkong, De forente arabiske emirater, Libanon, Malaysia og Jordan.
Fra Guds rotte til Gud rotte
GodRAT regnes som en moderne utvikling av Gh0st RAT, en trojaner hvis kildekode lekket i 2008 og siden har blitt bredt tatt i bruk av kinesiske trusselgrupper. Likheter har også blitt funnet med AwesomePuppet, et annet Gh0st RAT-derivat som ble avslørt i 2023 og tilskrevet den produktive gruppen Winnti (APT41).
Skadevaren er designet med en plugin-basert struktur, som gjør det mulig å samle sensitiv informasjon og distribuere ytterligere nyttelaster som AsyncRAT.
Smittekjede og teknisk sammenbrudd
Angrepet starter med .SCR-filer som fungerer som selvutpakkende kjørbare filer. Disse filene inneholder flere innebygde komponenter, inkludert en ondsinnet DLL som er sidelastet inn via en legitim kjørbar fil. Denne DLL-en henter skallkode skjult i et .JPG-bilde, noe som til slutt muliggjør utrulling av GodRAT.
Når den er aktiv, kobler trojaneren seg til C2-serveren sin via TCP, og samler inn systemdata og detaljer om installerte antivirusverktøy. Etter å ha overført denne informasjonen, utsteder C2-serveren kommandoer. Disse instruksjonene lar skadevaren:
- Injiser en mottatt plugin-DLL i minnet.
- Avslutt prosessen etter at du har lukket sokkelen.
- Last ned og kjør filer ved hjelp av CreateProcessA API-et.
- Åpne bestemte URL-er via Internet Explorer-kommandoer
Utvide muligheter med plugins
En bemerkelsesverdig plugin, FileManager DLL, gir angripere bred kontroll over offerets system. Den muliggjør filsøk, manipulering og mappesøking, samtidig som den fungerer som et leveringsverktøy for sekundær skadelig programvare. Bekreftede nyttelaster inkluderer:
- En passordtyver rettet mot Chrome- og Edge-nettlesere
- AsyncRAT-trojaneren for videre utnyttelse
GodRAT Builder og nyttelastalternativer
Forskere avdekket GodRAT-byggeren og fullstendig klientkildekode, noe som avslører dens tilpasningsevne. Byggeren lar angripere generere enten kjørbare filer eller DLL-er. Hvis den kjørbare ruten velges, kan brukere velge legitime binærfiler for kodeinjeksjon, inkludert svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe og QQScLauncher.exe.
De resulterende nyttelastene kan lagres i forskjellige formater, inkludert .exe, .com, .bat, .scr og .pif.
Eldre kode, moderne trussel
Oppdagelsen av GodRAT fremhever hvordan eldre implantater som Gh0st RAT – som først ble introdusert for nesten to tiår siden, fortsatt utgjør store risikoer i dag. Konstant tilpasning og ombruk lar angripere holde disse verktøyene relevante, noe som sikrer deres langsiktige overlevelse i cybersikkerhetslandskapet. GodRAT tjener som en påminnelse om at selv gamle kodebaser for skadelig programvare forblir kraftige våpen når de plasseres i hendene på dyktige motstandere.
