Trójsky kôň GodRAT
Kyberzločinci sa opäť zameriavajú na finančné organizácie, pričom obchodné a maklérske firmy sa dostali do hľadáčika kampane, ktorá prináša doteraz neznámy trójsky kôň pre vzdialený prístup (RAT) s názvom GodRAT. Útok sa šíri prostredníctvom škodlivých súborov .SCR maskovaných ako finančné dokumenty, ktoré sa zdieľajú cez Skype Messenger.
Obsah
Skryté užitočné zaťaženie prostredníctvom steganografie
Nedávne vyšetrovania ukazujú, že útočníci používajú steganografiu na skrytie shellcode v obrazových súboroch. Tieto skryté inštrukcie spúšťajú sťahovanie GodRAT zo servera Command-and-Control (C2). Dôkazy naznačujú, že kampaň prebieha od 9. septembra 2024, pričom aktivita bola zaznamenaná až 12. augusta 2025. Medzi postihnuté regióny patria Hongkong, Spojené arabské emiráty, Libanon, Malajzia a Jordánsko.
Z Gh0st RAT na GodRAT
GodRAT sa považuje za moderný vývoj trójskeho koňa Gh0st RAT, ktorého zdrojový kód unikol v roku 2008 a odvtedy ho vo veľkej miere používajú čínske skupiny zaoberajúce sa hrozbami. Podobnosti sa našli aj s AwesomePuppet, ďalším derivátom Gh0st RAT odhaleným v roku 2023 a pripisovaným produktívnej skupine Winnti (APT41).
Škodlivý softvér je navrhnutý so štruktúrou založenou na pluginoch, ktorá mu umožňuje zhromažďovať citlivé informácie a nasadzovať ďalšie užitočné zaťaženia, ako napríklad AsyncRAT.
Reťazec infekcie a technické rozdelenie
Útok začína súbormi .SCR, ktoré fungujú ako samorozbaľovacie spustiteľné súbory. Tieto súbory obsahujú viacero vložených komponentov vrátane škodlivej knižnice DLL, ktorá je načítaná prostredníctvom legitímneho spustiteľného súboru. Táto knižnica DLL načíta shellcode skrytý v obrázku .JPG, čo v konečnom dôsledku umožňuje nasadenie GodRAT.
Po aktivácii sa trójsky kôň pripojí k svojmu serveru C2 prostredníctvom TCP a zhromažďuje systémové údaje a podrobnosti o nainštalovaných antivírusových nástrojoch. Po odoslaní týchto informácií server C2 vydá príkazy. Tieto inštrukcie umožňujú malvéru:
- Vložte prijatú knižnicu DLL pluginu do pamäte.
- Ukončite proces po zatvorení socketu.
- Stiahnite a spustite súbory pomocou rozhrania API CreateProcessA.
- Otvorenie konkrétnych URL adries pomocou príkazov prehliadača Internet Explorer
Rozšírenie možností pomocou pluginov
Jeden pozoruhodný plugin, FileManager DLL, poskytuje útočníkom širokú kontrolu nad systémom obete. Umožňuje vyhľadávanie súborov, manipuláciu s nimi a prehliadanie priečinkov a zároveň slúži ako nástroj na doručovanie sekundárneho malvéru. Medzi potvrdené užitočné zaťaženia patria:
- Program na krádež hesiel zameraný na prehliadače Chrome a Edge
- Trójsky kôň AsyncRAT na ďalšie zneužitie
Možnosti nástroja GodRAT Builder a užitočného zaťaženia
Výskumníci odhalili nástroj na tvorbu GodRAT a kompletný zdrojový kód klienta, čím odhalili jeho prispôsobivosť. Nástroj umožňuje útočníkom generovať buď spustiteľné súbory, alebo knižnice DLL. Ak je zvolená trasa spustiteľného súboru, používatelia si môžu na vloženie kódu vybrať legitímne binárne súbory vrátane svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe a QQScLauncher.exe.
Výsledné užitočné dáta je možné uložiť v rôznych formátoch vrátane .exe, .com, .bat, .scr a .pif.
Starší kód, moderná hrozba
Objav GodRAT zdôrazňuje, ako staršie implantáty, ako napríklad Gh0st RAT – prvýkrát predstavený pred takmer dvoma desaťročiami, stále predstavujú veľké riziko. Neustále prispôsobovanie a prehodnocovanie umožňuje útočníkom udržiavať tieto nástroje relevantné, čím sa zabezpečuje ich dlhodobé prežitie v oblasti kybernetickej bezpečnosti. GodRAT slúži ako pripomienka, že aj staré kódové základne škodlivého softvéru zostávajú silnými zbraňami, keď sa dostanú do rúk skúsených protivníkov.
