GodRAT Trojan
Cybercriminelen richten zich opnieuw op financiële instellingen, met handels- en effectenmakelaarsbedrijven in het vizier van een campagne die een voorheen onbekende remote access trojan (RAT) genaamd GodRAT verspreidt. De aanval verspreidt zich via kwaadaardige .SCR-bestanden die vermomd zijn als financiële documenten en die worden gedeeld via Skype Messenger.
Inhoudsopgave
Verborgen payloads via steganografie
Recent onderzoek toont aan dat de aanvallers steganografie gebruiken om shellcode in afbeeldingsbestanden te verbergen. Deze verborgen instructies activeren de download van GodRAT vanaf een Command-and-Control (C2)-server. Bewijs suggereert dat de campagne al sinds 9 september 2024 gaande is, met activiteiten die pas op 12 augustus 2025 zijn geregistreerd. De getroffen regio's zijn onder andere Hongkong, de VAE, Libanon, Maleisië en Jordanië.
Van Gh0st RAT naar GodRAT
GodRAT wordt beschouwd als een moderne evolutie van Gh0st RAT, een trojan waarvan de broncode in 2008 uitlekte en sindsdien op grote schaal wordt gebruikt door Chinese cybercriminelen. Er zijn ook overeenkomsten gevonden met AwesomePuppet, een andere afgeleide van Gh0st RAT die in 2023 werd ontdekt en werd toegeschreven aan de productieve groep Winnti (APT41).
De malware is ontworpen met een plug-in-gebaseerde structuur, waardoor het gevoelige informatie kan verzamelen en extra payloads kan implementeren, zoals AsyncRAT.
Infectieketen en technische analyse
De aanval begint met .SCR-bestanden die fungeren als zelfuitpakkende uitvoerbare bestanden. Deze bestanden bevatten meerdere ingebedde componenten, waaronder een schadelijke DLL die via een legitiem uitvoerbaar bestand is geladen. Deze DLL haalt shellcode op die verborgen is in een .JPG-afbeelding, wat uiteindelijk de implementatie van GodRAT mogelijk maakt.
Zodra de trojan actief is, maakt hij via TCP verbinding met zijn C2-server en verzamelt hij systeemgegevens en details over geïnstalleerde antivirusprogramma's. Na het verzenden van deze informatie geeft de C2-server opdrachten. Deze instructies stellen de malware in staat om:
- Injecteer een ontvangen plugin-DLL in het geheugen.
- Beëindig het proces nadat u de socket hebt gesloten.
- Download en voer bestanden uit met de CreateProcessA API.
- Specifieke URL's openen via Internet Explorer-opdrachten
Uitbreiding van mogelijkheden met plug-ins
Eén opvallende plug-in, FileManager DLL, geeft aanvallers brede controle over het systeem van het slachtoffer. Het maakt het mogelijk om bestanden te doorzoeken, te manipuleren en door mappen te bladeren, en dient tevens als een hulpmiddel voor het verspreiden van secundaire malware. Bevestigde payloads zijn onder andere:
- Een wachtwoorddief die gericht is op Chrome- en Edge-browsers
- De AsyncRAT-trojan voor verdere exploitatie
GodRAT Builder en Payload-opties
Onderzoekers hebben de GodRAT-builder en de volledige broncode van de client blootgelegd, wat de aanpasbaarheid ervan aantoont. De builder stelt aanvallers in staat om zowel uitvoerbare bestanden als DLL's te genereren. Als de uitvoerbare versie wordt gekozen, kunnen gebruikers legitieme binaire bestanden selecteren voor code-injectie, waaronder svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe en QQScLauncher.exe.
De resulterende payloads kunnen in verschillende formaten worden opgeslagen, waaronder .exe, .com, .bat, .scr en .pif.
Legacy Code, moderne bedreiging
De ontdekking van GodRAT onderstreept hoe verouderde implantaten zoals Gh0st RAT – die bijna twintig jaar geleden voor het eerst werden geïntroduceerd – nog steeds grote risico's vormen. Door voortdurende aanpassing en hergebruik kunnen aanvallers deze tools relevant houden en zo hun overleving in het cybersecuritylandschap op lange termijn waarborgen. GodRAT herinnert ons eraan dat zelfs oude malwarecodebases krachtige wapens blijven wanneer ze in handen komen van ervaren tegenstanders.
