GodRAT ट्रोजन

साइबर अपराधीहरूले फेरि एक पटक वित्तीय संस्थाहरूलाई लक्षित गरिरहेका छन्, जसमा व्यापारिक र ब्रोकरेज फर्महरू GodRAT नामक पहिले अज्ञात रिमोट एक्सेस ट्रोजन (RAT) डेलिभर गर्ने अभियानको घेरामा छन्। यो आक्रमण स्काइप मेसेन्जर मार्फत साझा गरिएका वित्तीय कागजातहरूको रूपमा लुकाइएका दुर्भावनापूर्ण .SCR फाइलहरू मार्फत फैलिन्छ।

स्टेगानोग्राफी मार्फत लुकेका पेलोडहरू

हालैका अनुसन्धानहरूले देखाएका छन् कि आक्रमणकारीहरूले छवि फाइलहरू भित्र शेलकोड लुकाउन स्टेगानोग्राफी प्रयोग गरिरहेका छन्। यी लुकेका निर्देशनहरूले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट GodRAT डाउनलोड गर्न ट्रिगर गर्छन्। प्रमाणहरूले सुझाव दिन्छ कि अभियान सेप्टेम्बर ९, २०२४ देखि चलिरहेको छ, जसको गतिविधि हालै अगस्ट १२, २०२५ सम्म रेकर्ड गरिएको छ। प्रभावित क्षेत्रहरूमा हङकङ, युएई, लेबनान, मलेसिया र जोर्डन समावेश छन्।

Gh0st RAT देखि GodRAT सम्म

GodRAT लाई Gh0st RAT को आधुनिक विकास मानिन्छ, एक ट्रोजन जसको स्रोत कोड २००८ मा लीक भयो र त्यसपछि चिनियाँ खतरा समूहहरूले व्यापक रूपमा अपनाएको छ। २०२३ मा खुलासा गरिएको र प्रचलित समूह Winnti (APT41) लाई श्रेय दिइएको अर्को Gh0st RAT डेरिभेटिभ, AwesomePuppet सँग पनि समानताहरू फेला परेका छन्।

यो मालवेयर प्लगइन-आधारित संरचनाको साथ डिजाइन गरिएको छ, जसले यसलाई संवेदनशील जानकारी सङ्कलन गर्न र AsyncRAT जस्ता थप पेलोडहरू तैनाथ गर्न सक्षम बनाउँछ।

संक्रमण शृङ्खला र प्राविधिक ब्रेकडाउन

आक्रमण .SCR फाइलहरू स्व-निकासी कार्यान्वयनयोग्यको रूपमा काम गरेर सुरु हुन्छ। यी फाइलहरूमा धेरै एम्बेडेड कम्पोनेन्टहरू हुन्छन्, जसमा वैध कार्यान्वयनयोग्य मार्फत साइडलोड गरिएको दुर्भावनापूर्ण DLL समावेश छ। यो DLL ले .JPG छविमा लुकेको शेलकोड पुन: प्राप्त गर्दछ, जसले अन्ततः GodRAT को तैनाती सक्षम बनाउँछ।

एकपटक सक्रिय भएपछि, ट्रोजनले TCP मार्फत आफ्नो C2 सर्भरमा जडान गर्छ, प्रणाली डेटा र स्थापित एन्टिभाइरस उपकरणहरूमा विवरणहरू सङ्कलन गर्छ। यो जानकारी प्रसारण गरेपछि, C2 सर्भरले आदेशहरू जारी गर्दछ। यी निर्देशनहरूले मालवेयरलाई निम्न गर्न अनुमति दिन्छ:

• प्राप्त प्लगइन DLL मेमोरीमा इन्जेक्ट गर्नुहोस्।
• सकेट बन्द गरेपछि यसको प्रक्रिया समाप्त गर्नुहोस्।
• CreateProcessA API प्रयोग गरेर फाइलहरू डाउनलोड र कार्यान्वयन गर्नुहोस्।
• इन्टरनेट एक्सप्लोरर आदेशहरू मार्फत विशिष्ट URL हरू खोल्नुहोस्

प्लगइनहरूसँग क्षमताहरू विस्तार गर्दै

एउटा उल्लेखनीय प्लगइन, फाइल प्रबन्धक DLL, ले आक्रमणकारीहरूलाई पीडितको प्रणालीमा व्यापक नियन्त्रण प्रदान गर्दछ। यसले फाइल खोजी, हेरफेर, र फोल्डर ब्राउजिङ सक्षम बनाउँछ जबकि माध्यमिक मालवेयरको लागि डेलिभरी उपकरणको रूपमा पनि काम गर्दछ। पुष्टि गरिएका पेलोडहरूमा समावेश छन्:

• क्रोम र एज ब्राउजरहरूलाई लक्षित गर्ने पासवर्ड चोर
• थप शोषणको लागि AsyncRAT ट्रोजन

GodRAT बिल्डर र पेलोड विकल्पहरू

अनुसन्धानकर्ताहरूले GodRAT बिल्डर र पूर्ण क्लाइन्ट स्रोत कोड पत्ता लगाए, जसले यसको अनुकूलन क्षमता प्रकट गर्‍यो। बिल्डरले आक्रमणकारीहरूलाई कार्यान्वयनयोग्य वा DLL उत्पन्न गर्न अनुमति दिन्छ। यदि कार्यान्वयनयोग्य मार्ग छनौट गरियो भने, प्रयोगकर्ताहरूले कोड इंजेक्शनको लागि वैध बाइनरीहरू चयन गर्न सक्छन्, जसमा svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe, र QQScLauncher.exe समावेश छन्।

परिणामस्वरूप पेलोडहरू .exe, .com, .bat, .scr, र .pif सहित विभिन्न ढाँचाहरूमा बचत गर्न सकिन्छ।

लिगेसी कोड, आधुनिक खतरा

GodRAT को खोजले लगभग दुई दशक अघि पहिलो पटक प्रस्तुत गरिएको Gh0st RAT जस्ता लिगेसी इम्प्लान्टहरूले आज पनि कसरी प्रमुख जोखिमहरू खडा गर्छन् भन्ने कुरा प्रकाश पार्छ। निरन्तर अनुकूलन र पुन: प्रयोगले आक्रमणकारीहरूलाई साइबर सुरक्षा परिदृश्यमा उनीहरूको दीर्घकालीन अस्तित्व सुनिश्चित गर्दै यी उपकरणहरूलाई सान्दर्भिक राख्न अनुमति दिन्छ। GodRAT ले कुशल विरोधीहरूको हातमा राख्दा पनि पुराना मालवेयर कोडबेसहरू शक्तिशाली हतियार रहन्छन् भन्ने कुराको सम्झना गराउँछ।