Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Trojanski konj GodRAT

Trojanski konj GodRAT

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT), Orodja za oddaljeno upravljanje
Prevedi v:

Kibernetski kriminalci so znova tarča finančnih organizacij, trgovalne in borznoposredniške družbe pa so na tarči kampanje, ki širi prej neznanega trojanca za oddaljeni dostop (RAT) z imenom GodRAT. Napad se širi prek zlonamernih datotek .SCR, prikritih kot finančni dokumenti, ki se delijo prek Skype Messengerja.

Skriti koristni tovori s steganografijo

Nedavne preiskave kažejo, da napadalci uporabljajo steganografijo za prikrivanje shellcode v slikovnih datotekah. Ta skrita navodila sprožijo prenos GodRAT-a s strežnika Command-and-Control (C2). Dokazi kažejo, da kampanja poteka od 9. septembra 2024, aktivnost pa je bila zabeležena šele 12. avgusta 2025. Prizadete regije vključujejo Hongkong, ZAE, Libanon, Malezijo in Jordanijo.

Od Gh0st RAT do GodRAT

GodRAT velja za sodoben razvoj Gh0st RAT, trojanca, katerega izvorna koda je pricurljala v javnost leta 2008 in so ga od takrat široko sprejele kitajske skupine za grožbe. Podobnosti so bile ugotovljene tudi pri AwesomePuppet, še enem derivatu Gh0st RAT, ki je bil razkrit leta 2023 in pripisan plodni skupini Winnti (APT41).

Zlonamerna programska oprema je zasnovana s strukturo, ki temelji na vtičnikih, kar ji omogoča zbiranje občutljivih informacij in uporabo dodatnih koristnih tovorov, kot je AsyncRAT.

Veriga okužbe in tehnična razčlenitev

Napad se začne z datotekami .SCR, ki delujejo kot samoraztegljive izvršljive datoteke. Te datoteke vsebujejo več vdelanih komponent, vključno z zlonamerno DLL-datoteko, ki je naložena prek legitimne izvršljive datoteke. Ta DLL pridobi shellcode, skrito v sliki .JPG, kar na koncu omogoči namestitev GodRAT-a.

Ko je trojanski konj aktiven, se prek TCP-ja poveže s svojim strežnikom C2 in zbira sistemske podatke ter podrobnosti o nameščenih protivirusnih orodjih. Po prenosu teh informacij strežnik C2 izda ukaze. Ta navodila omogočajo zlonamerni programski opremi, da:

  • V pomnilnik vbrizgajte prejeto datoteko DLL vtičnika.
  • Po zaprtju vtičnice zaključi postopek.
  • Prenesite in zaženite datoteke z uporabo API-ja CreateProcessA.
  • Odprite določene URL-je z ukazi Internet Explorerja

Razširitev zmogljivosti z vtičniki

En pomemben vtičnik, FileManager DLL, napadalcem omogoča širok nadzor nad sistemom žrtve. Omogoča iskanje datotek, manipulacijo in brskanje po mapah, hkrati pa služi kot orodje za dostavo sekundarne zlonamerne programske opreme. Potrjeni koristni tovori vključujejo:

  • Krajalec gesel, ki cilja na brskalnika Chrome in Edge
  • Trojanec AsyncRAT za nadaljnje izkoriščanje

Možnosti graditelja in koristnega tovora GodRAT

Raziskovalci so odkrili graditelj GodRAT in celotno izvorno kodo odjemalca ter razkrili njegovo prilagodljivost. Graditelj napadalcem omogoča ustvarjanje izvedljivih datotek ali DLL-jev. Če je izbrana pot izvedljive datoteke, lahko uporabniki za vbrizgavanje kode izberejo legitimne binarne datoteke, vključno s svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe in QQScLauncher.exe.

Nastale koristne podatke je mogoče shraniti v različnih oblikah, vključno z .exe, .com, .bat, .scr in .pif.

Stara koda, sodobna grožnja

Odkritje GodRAT-a poudarja, kako starejši vsadki, kot je Gh0st RAT – prvič predstavljen pred skoraj dvema desetletjema, še danes predstavljajo velika tveganja. Nenehno prilagajanje in prenamenitev napadalcem omogočata, da ta orodja ostanejo relevantna, kar zagotavlja njihov dolgoročni obstoj v kibernetski varnostni krajini. GodRAT služi kot opomnik, da tudi stare kodne baze zlonamerne programske opreme ostajajo močno orožje, ko so v rokah spretnih nasprotnikov.

V trendu

Najbolj gledan

Nalaganje...