GodRAT Trojan

ਸਾਈਬਰ ਅਪਰਾਧੀ ਇੱਕ ਵਾਰ ਫਿਰ ਵਿੱਤੀ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੇ ਹਨ, ਵਪਾਰਕ ਅਤੇ ਬ੍ਰੋਕਰੇਜ ਫਰਮਾਂ ਇੱਕ ਮੁਹਿੰਮ ਦੇ ਘੇਰੇ ਵਿੱਚ ਹਨ ਜੋ GodRAT ਨਾਮਕ ਇੱਕ ਪਹਿਲਾਂ ਅਣਜਾਣ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਪ੍ਰਦਾਨ ਕਰ ਰਹੀਆਂ ਹਨ। ਇਹ ਹਮਲਾ ਵਿੱਤੀ ਦਸਤਾਵੇਜ਼ਾਂ ਦੇ ਭੇਸ ਵਿੱਚ ਖਤਰਨਾਕ .SCR ਫਾਈਲਾਂ ਰਾਹੀਂ ਫੈਲਦਾ ਹੈ, ਜੋ ਸਕਾਈਪ ਮੈਸੇਂਜਰ ਰਾਹੀਂ ਸਾਂਝੀਆਂ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।

ਸਟੈਗਨੋਗ੍ਰਾਫੀ ਰਾਹੀਂ ਲੁਕਵੇਂ ਪੇਲੋਡ

ਹਾਲੀਆ ਜਾਂਚਾਂ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਹਮਲਾਵਰ ਚਿੱਤਰ ਫਾਈਲਾਂ ਦੇ ਅੰਦਰ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਸਟੈਗਨੋਗ੍ਰਾਫੀ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। ਇਹ ਲੁਕੀਆਂ ਹੋਈਆਂ ਹਦਾਇਤਾਂ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ GodRAT ਦੇ ਡਾਊਨਲੋਡ ਨੂੰ ਚਾਲੂ ਕਰਦੀਆਂ ਹਨ। ਸਬੂਤ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਇਹ ਮੁਹਿੰਮ 9 ਸਤੰਬਰ, 2024 ਤੋਂ ਜਾਰੀ ਹੈ, ਜਿਸਦੀ ਗਤੀਵਿਧੀ ਹਾਲ ਹੀ ਵਿੱਚ 12 ਅਗਸਤ, 2025 ਤੱਕ ਦਰਜ ਕੀਤੀ ਗਈ ਹੈ। ਪ੍ਰਭਾਵਿਤ ਖੇਤਰਾਂ ਵਿੱਚ ਹਾਂਗਕਾਂਗ, ਯੂਏਈ, ਲੇਬਨਾਨ, ਮਲੇਸ਼ੀਆ ਅਤੇ ਜਾਰਡਨ ਸ਼ਾਮਲ ਹਨ।

Gh0st RAT ਤੋਂ GodRAT ਤੱਕ

GodRAT ਨੂੰ Gh0st RAT ਦਾ ਇੱਕ ਆਧੁਨਿਕ ਵਿਕਾਸ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਟ੍ਰੋਜਨ ਜਿਸਦਾ ਸਰੋਤ ਕੋਡ 2008 ਵਿੱਚ ਲੀਕ ਹੋਇਆ ਸੀ ਅਤੇ ਉਦੋਂ ਤੋਂ ਇਸਨੂੰ ਚੀਨੀ ਧਮਕੀ ਸਮੂਹਾਂ ਦੁਆਰਾ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਅਪਣਾਇਆ ਗਿਆ ਹੈ। ਸਮਾਨਤਾਵਾਂ AwesomePuppet ਨਾਲ ਵੀ ਪਾਈਆਂ ਗਈਆਂ ਹਨ, ਜੋ ਕਿ 2023 ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ ਇੱਕ ਹੋਰ Gh0st RAT ਡੈਰੀਵੇਟਿਵ ਹੈ ਅਤੇ ਵਿਨਟੀ (APT41) ਨਾਮਕ ਇੱਕ ਹੋਰ Gh0st RAT ਡੈਰੀਵੇਟਿਵ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਇੱਕ ਪਲੱਗਇਨ-ਅਧਾਰਿਤ ਢਾਂਚੇ ਨਾਲ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਇਸਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ AsyncRAT ਵਰਗੇ ਵਾਧੂ ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।

ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਤੇ ਤਕਨੀਕੀ ਟੁੱਟਣਾ

ਹਮਲਾ .SCR ਫਾਈਲਾਂ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਸਵੈ-ਐਕਸਟਰੈਕਟਿੰਗ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਵਜੋਂ ਕੰਮ ਕਰਦੀਆਂ ਹਨ। ਇਹਨਾਂ ਫਾਈਲਾਂ ਵਿੱਚ ਕਈ ਏਮਬੈਡਡ ਕੰਪੋਨੈਂਟ ਹੁੰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਖਤਰਨਾਕ DLL ਵੀ ਸ਼ਾਮਲ ਹੈ ਜੋ ਇੱਕ ਜਾਇਜ਼ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੁਆਰਾ ਸਾਈਡਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ DLL ਇੱਕ .JPG ਚਿੱਤਰ ਵਿੱਚ ਲੁਕਿਆ ਹੋਇਆ ਸ਼ੈੱਲਕੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਜੋ ਅੰਤ ਵਿੱਚ GodRAT ਦੀ ਤੈਨਾਤੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਸਰਗਰਮ ਹੋਣ 'ਤੇ, ਟ੍ਰੋਜਨ TCP ਰਾਹੀਂ ਆਪਣੇ C2 ਸਰਵਰ ਨਾਲ ਜੁੜਦਾ ਹੈ, ਸਿਸਟਮ ਡੇਟਾ ਅਤੇ ਸਥਾਪਿਤ ਐਂਟੀਵਾਇਰਸ ਟੂਲਸ 'ਤੇ ਵੇਰਵੇ ਇਕੱਠੇ ਕਰਦਾ ਹੈ। ਇਸ ਜਾਣਕਾਰੀ ਨੂੰ ਸੰਚਾਰਿਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, C2 ਸਰਵਰ ਕਮਾਂਡਾਂ ਜਾਰੀ ਕਰਦਾ ਹੈ। ਇਹ ਨਿਰਦੇਸ਼ ਮਾਲਵੇਅਰ ਨੂੰ ਇਹ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ:

• ਇੱਕ ਪ੍ਰਾਪਤ ਪਲੱਗਇਨ DLL ਨੂੰ ਮੈਮੋਰੀ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰੋ।
• ਸਾਕਟ ਬੰਦ ਕਰਨ ਤੋਂ ਬਾਅਦ ਇਸਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਕਰੋ।
• CreateProcessA API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਫਾਈਲਾਂ ਡਾਊਨਲੋਡ ਅਤੇ ਚਲਾਓ।
• ਇੰਟਰਨੈੱਟ ਐਕਸਪਲੋਰਰ ਕਮਾਂਡਾਂ ਰਾਹੀਂ ਖਾਸ URL ਖੋਲ੍ਹੋ

ਪਲੱਗਇਨਾਂ ਨਾਲ ਸਮਰੱਥਾਵਾਂ ਦਾ ਵਿਸਤਾਰ ਕਰਨਾ

ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਪਲੱਗਇਨ, ਫਾਈਲਮੈਨੇਜਰ ਡੀਐਲਐਲ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਉੱਤੇ ਵਿਆਪਕ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਹ ਫਾਈਲ ਖੋਜਾਂ, ਹੇਰਾਫੇਰੀ ਅਤੇ ਫੋਲਡਰ ਬ੍ਰਾਊਜ਼ਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ ਜਦੋਂ ਕਿ ਸੈਕੰਡਰੀ ਮਾਲਵੇਅਰ ਲਈ ਇੱਕ ਡਿਲੀਵਰੀ ਟੂਲ ਵਜੋਂ ਵੀ ਕੰਮ ਕਰਦਾ ਹੈ। ਪੁਸ਼ਟੀ ਕੀਤੇ ਪੇਲੋਡਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਇੱਕ ਪਾਸਵਰਡ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਵਿਅਕਤੀ ਜੋ Chrome ਅਤੇ Edge ਬ੍ਰਾਊਜ਼ਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ
• ਹੋਰ ਸ਼ੋਸ਼ਣ ਲਈ AsyncRAT ਟ੍ਰੋਜਨ

GodRAT ਬਿਲਡਰ ਅਤੇ ਪੇਲੋਡ ਵਿਕਲਪ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ GodRAT ਬਿਲਡਰ ਅਤੇ ਪੂਰੇ ਕਲਾਇੰਟ ਸੋਰਸ ਕੋਡ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ, ਜਿਸ ਨਾਲ ਇਸਦੀ ਅਨੁਕੂਲਤਾ ਦਾ ਖੁਲਾਸਾ ਹੋਇਆ। ਬਿਲਡਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਜਾਂ DLL ਤਿਆਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਜੇਕਰ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਰੂਟ ਚੁਣਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਉਪਭੋਗਤਾ ਕੋਡ ਇੰਜੈਕਸ਼ਨ ਲਈ ਜਾਇਜ਼ ਬਾਈਨਰੀ ਚੁਣ ਸਕਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe, ਅਤੇ QQScLauncher.exe ਸ਼ਾਮਲ ਹਨ।

ਨਤੀਜੇ ਵਜੋਂ ਪ੍ਰਾਪਤ ਹੋਣ ਵਾਲੇ ਪੇਲੋਡਾਂ ਨੂੰ .exe, .com, .bat, .scr, ਅਤੇ .pif ਸਮੇਤ ਵੱਖ-ਵੱਖ ਫਾਰਮੈਟਾਂ ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

ਪੁਰਾਤਨ ਕੋਡ, ਆਧੁਨਿਕ ਖ਼ਤਰਾ

GodRAT ਦੀ ਖੋਜ ਇਸ ਗੱਲ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਕਿ ਕਿਵੇਂ ਪੁਰਾਣੇ ਇਮਪਲਾਂਟ ਜਿਵੇਂ ਕਿ Gh0st RAT—ਪਹਿਲਾਂ ਲਗਭਗ ਦੋ ਦਹਾਕੇ ਪਹਿਲਾਂ ਪੇਸ਼ ਕੀਤਾ ਗਿਆ ਸੀ, ਅੱਜ ਵੀ ਵੱਡੇ ਜੋਖਮ ਪੈਦਾ ਕਰਦਾ ਹੈ। ਨਿਰੰਤਰ ਅਨੁਕੂਲਨ ਅਤੇ ਮੁੜ-ਉਪਯੋਗ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇਹਨਾਂ ਸਾਧਨਾਂ ਨੂੰ ਢੁਕਵਾਂ ਰੱਖਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਉਹਨਾਂ ਦੇ ਲੰਬੇ ਸਮੇਂ ਦੇ ਬਚਾਅ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ। GodRAT ਇੱਕ ਯਾਦ ਦਿਵਾਉਂਦਾ ਹੈ ਕਿ ਪੁਰਾਣੇ ਮਾਲਵੇਅਰ ਕੋਡਬੇਸ ਵੀ ਸ਼ਕਤੀਸ਼ਾਲੀ ਹਥਿਆਰ ਬਣੇ ਰਹਿੰਦੇ ਹਨ ਜਦੋਂ ਹੁਨਰਮੰਦ ਵਿਰੋਧੀਆਂ ਦੇ ਹੱਥਾਂ ਵਿੱਚ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ।