Trojan GodRAT
Cyberprzestępcy ponownie biorą na celownik organizacje finansowe, a firmy handlowe i maklerskie znalazły się na celowniku kampanii rozpowszechniającej nieznanego wcześniej trojana zdalnego dostępu (RAT) o nazwie GodRAT. Atak rozprzestrzenia się za pośrednictwem złośliwych plików .SCR, które podszywają się pod dokumenty finansowe i są udostępniane za pośrednictwem komunikatora Skype.
Spis treści
Ukryte ładunki za pomocą steganografii
Najnowsze dochodzenia wykazały, że atakujący wykorzystują steganografię do ukrywania kodu powłoki w plikach graficznych. Te ukryte instrukcje uruchamiają pobieranie GodRAT z serwera Command-and-Control (C2). Dowody wskazują, że kampania trwa od 9 września 2024 roku, a aktywność odnotowano dopiero 12 sierpnia 2025 roku. Dotknięte regiony to m.in. Hongkong, Zjednoczone Emiraty Arabskie, Liban, Malezja i Jordania.
Od Gh0st RAT do GodRAT
GodRAT jest uważany za współczesną ewolucję trojana Gh0st RAT, którego kod źródłowy wyciekł w 2008 roku i od tego czasu jest szeroko wykorzystywany przez chińskie grupy cyberprzestępcze. Podobieństwa dostrzeżono również w AwesomePuppet, innym pochodnym Gh0st RAT, ujawnionym w 2023 roku i przypisywanym popularnej grupie Winnti (APT41).
Szkodliwe oprogramowanie ma strukturę opartą na wtyczkach, co umożliwia mu zbieranie poufnych informacji i wdrażanie dodatkowych ładunków, takich jak AsyncRAT.
Łańcuch infekcji i awaria techniczna
Atak rozpoczyna się od plików .SCR, które działają jak samorozpakowujące się pliki wykonywalne. Pliki te zawierają wiele osadzonych komponentów, w tym złośliwą bibliotekę DLL załadowaną z boku za pośrednictwem legalnego pliku wykonywalnego. Ta biblioteka DLL pobiera kod powłoki ukryty w obrazie .JPG, co ostatecznie umożliwia wdrożenie GodRAT.
Po aktywacji trojan łączy się z serwerem C2 za pośrednictwem protokołu TCP, gromadząc dane systemowe i informacje o zainstalowanych narzędziach antywirusowych. Po przesłaniu tych informacji serwer C2 wydaje polecenia. Instrukcje te umożliwiają złośliwemu oprogramowaniu:
- Wstrzyknij otrzymaną bibliotekę DLL wtyczki do pamięci.
- Zakończ proces po zamknięciu gniazda.
- Pobierz i uruchom pliki korzystając z interfejsu API CreateProcessA.
- Otwieranie określonych adresów URL za pomocą poleceń przeglądarki Internet Explorer
Rozszerzanie możliwości za pomocą wtyczek
Jedna z godnych uwagi wtyczek, FileManager DLL, zapewnia atakującym szeroką kontrolę nad systemem ofiary. Umożliwia ona wyszukiwanie plików, manipulowanie nimi i przeglądanie folderów, a jednocześnie służy jako narzędzie do rozsyłania wtórnego złośliwego oprogramowania. Potwierdzone ładunki obejmują:
- Złodziej haseł atakujący przeglądarki Chrome i Edge
- Trojan AsyncRAT do dalszego wykorzystania
Opcje GodRAT Builder i ładunku
Badacze odkryli program GodRAT builder i pełny kod źródłowy klienta, ujawniając jego możliwości adaptacyjne. Program ten umożliwia atakującym generowanie plików wykonywalnych lub bibliotek DLL. Jeśli wybrana zostanie ścieżka wykonywalna, użytkownicy mogą wybrać legalne pliki binarne do wstrzyknięcia kodu, w tym svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe i QQScLauncher.exe.
Wynikowe ładunki mogą zostać zapisane w różnych formatach, w tym .exe, .com, .bat, .scr i .pif.
Kod legacy, współczesne zagrożenie
Odkrycie GodRAT pokazuje, jak stare implanty, takie jak Gh0st RAT – wprowadzone po raz pierwszy prawie dwie dekady temu – nadal stanowią poważne zagrożenie. Ciągła adaptacja i zmiana przeznaczenia tych narzędzi pozwala atakującym zachować ich przydatność, zapewniając im długoterminowe przetrwanie w cyberprzestrzeni. GodRAT przypomina, że nawet stare bazy kodu złośliwego oprogramowania pozostają potężną bronią w rękach doświadczonych przeciwników.
