Rabattoffert för flera licenser
Hotdatabas Skadlig programvara GodRAT-trojanen

GodRAT-trojanen

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Fjärradministrationsverktyg
Översätt till:

Cyberbrottslingar riktar sig återigen mot finansiella organisationer, med handels- och mäklarfirmor i siktet för en kampanj som levererar en tidigare okänd fjärråtkomsttrojan (RAT) vid namn GodRAT. Attacken sprids genom skadliga .SCR-filer förklädda till finansiella dokument, som delas via Skype Messenger.

Dolda nyttolaster genom steganografi

Nyligen genomförda undersökningar visar att angriparna använder steganografi för att dölja skalkod i bildfiler. Dessa dolda instruktioner utlöser nedladdningen av GodRAT från en Command-and-Control (C2)-server. Bevis tyder på att kampanjen har pågått sedan den 9 september 2024, med aktivitet registrerad så sent som den 12 augusti 2025. Bland de drabbade regionerna finns Hongkong, Förenade Arabemiraten, Libanon, Malaysia och Jordanien.

Från Gh0st RAT till GodRAT

GodRAT anses vara en modern utveckling av Gh0st RAT, en trojan vars källkod läckte ut 2008 och sedan dess har använts i stor utsträckning av kinesiska hotgrupper. Likheter har också hittats med AwesomePuppet, en annan Gh0st RAT-derivat som avslöjades 2023 och tillskrivs den produktiva gruppen Winnti (APT41).

Den skadliga programvaran är utformad med en plugin-baserad struktur, vilket gör det möjligt att samla in känslig information och distribuera ytterligare nyttolaster som AsyncRAT.

Infektionskedja och teknisk uppdelning

Attacken börjar med att .SCR-filer fungerar som självuppackande körbara filer. Dessa filer innehåller flera inbäddade komponenter, inklusive en skadlig DLL som sidladdas in via en legitim körbar fil. Denna DLL hämtar skalkod gömd i en .JPG-bild, vilket i slutändan möjliggör driftsättning av GodRAT.

När den är aktiv ansluter trojanen till sin C2-server via TCP och samlar in systemdata och information om installerade antivirusverktyg. Efter att ha överfört denna information utfärdar C2-servern kommandon. Dessa instruktioner gör det möjligt för skadlig kod att:

  • Injicera en mottagen plugin-DLL i minnet.
  • Avsluta processen efter att sockeln stängts.
  • Ladda ner och kör filer med hjälp av CreateProcessA API:et.
  • Öppna specifika webbadresser via kommandon i Internet Explorer

Utöka funktioner med plugins

Ett anmärkningsvärt plugin, FileManager DLL, ger angripare bred kontroll över offrets system. Det möjliggör filsökning, manipulation och mappbläddring samtidigt som det fungerar som ett leveransverktyg för sekundär skadlig kod. Bekräftade nyttolaster inkluderar:

  • En lösenordstjuv som riktar sig mot webbläsarna Chrome och Edge
  • AsyncRAT-trojanen för vidare utnyttjande

GodRAT Builder och nyttolastalternativ

Forskare avslöjade GodRAT-byggaren och fullständig klientkällkod, vilket avslöjade dess anpassningsförmåga. Byggaren låter angripare generera antingen körbara filer eller DLL-filer. Om den körbara rutten väljs kan användare välja legitima binärfiler för kodinjicering, inklusive svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe och QQScLauncher.exe.

De resulterande nyttolasten kan sparas i olika format, inklusive .exe, .com, .bat, .scr och .pif.

Äldre kod, moderna hot

Upptäckten av GodRAT belyser hur äldre implantat som Gh0st RAT – som först introducerades för nästan två decennier sedan – fortfarande utgör stora risker idag. Ständig anpassning och omanvändning gör det möjligt för angripare att hålla dessa verktyg relevanta, vilket säkerställer deras långsiktiga överlevnad i cybersäkerhetslandskapet. GodRAT fungerar som en påminnelse om att även gamla kodbaser för skadlig kod förblir kraftfulla vapen när de placeras i händerna på skickliga motståndare.

Trendigt

Mest sedda

Läser in...