Троян GodRAT
Киберпреступники снова атакуют финансовые организации. Торговые и брокерские фирмы оказались под прицелом кампании, распространяющей ранее неизвестный троян удалённого доступа (RAT) GodRAT. Атака распространяется через вредоносные файлы .SCR, замаскированные под финансовые документы и распространяемые через мессенджер Skype.
Оглавление
Скрытые полезные данные с помощью стеганографии
Недавние расследования показывают, что злоумышленники используют стеганографию для сокрытия шелл-кода в файлах изображений. Эти скрытые инструкции запускают загрузку GodRAT с сервера управления и контроля (C2). Данные свидетельствуют о том, что кампания продолжается с 9 сентября 2024 года, а активность была зафиксирована 12 августа 2025 года. В число затронутых регионов входят Гонконг, ОАЭ, Ливан, Малайзия и Иордания.
От Gh0st RAT к GodRAT
GodRAT считается современной версией Gh0st RAT, трояна, исходный код которого был украден в 2008 году и с тех пор широко используется китайскими группами хакеров. Также были обнаружены сходства с AwesomePuppet, ещё одним производным Gh0st RAT, обнаруженным в 2023 году и приписываемым активной группировке Winnti (APT41).
Вредоносное ПО имеет структуру на основе плагинов, что позволяет ему собирать конфиденциальную информацию и развертывать дополнительные полезные нагрузки, такие как AsyncRAT.
Цепочка заражения и технический сбой
Атака начинается с файлов .SCR, работающих как самораспаковывающиеся исполняемые файлы. Эти файлы содержат множество встроенных компонентов, включая вредоносную DLL-библиотеку, загружаемую через легитимный исполняемый файл. Эта DLL извлекает шелл-код, скрытый в изображении .JPG, что в конечном итоге позволяет развернуть GodRAT.
После активации троян подключается к своему командному серверу по TCP, собирая системные данные и информацию об установленных антивирусных программах. После передачи этой информации командный сервер выдаёт команды. Эти инструкции позволяют вредоносной программе:
- Внедрить полученный плагин DLL в память.
- Завершить процесс после закрытия сокета.
- Загрузите и запустите файлы с помощью API CreateProcessA.
- Открывать определенные URL-адреса с помощью команд Internet Explorer
Расширение возможностей с помощью плагинов
Один из примечательных плагинов, FileManager DLL, предоставляет злоумышленникам широкий контроль над системой жертвы. Он позволяет осуществлять поиск файлов, манипулировать ими и просматривать папки, одновременно служа инструментом доставки вторичного вредоносного ПО. Подтверждённые полезные нагрузки включают:
- Похититель паролей, нацеленный на браузеры Chrome и Edge
- Троян AsyncRAT для дальнейшей эксплуатации
Варианты конструктора и полезной нагрузки GodRAT
Исследователи обнаружили сборщик GodRAT и полный исходный код клиента, продемонстрировав его адаптивность. Сборщик позволяет злоумышленникам генерировать исполняемые файлы или библиотеки DLL. При выборе исполняемого файла пользователи могут выбрать легитимные двоичные файлы для внедрения кода, включая svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe.
Полученные полезные данные могут быть сохранены в различных форматах, включая .exe, .com, .bat, .scr и .pif.
Устаревший код, современная угроза
Обнаружение GodRAT наглядно демонстрирует, как устаревшие импланты, такие как Gh0st RAT, впервые представленные почти два десятилетия назад, по-прежнему представляют серьёзную угрозу. Постоянная адаптация и перепрофилирование позволяют злоумышленникам поддерживать актуальность этих инструментов, обеспечивая им долгосрочное выживание в киберпространстве. GodRAT служит напоминанием о том, что даже старые кодовые базы вредоносных программ остаются мощным оружием в руках опытных злоумышленников.
