గాడ్‌రాట్ ట్రోజన్

సైబర్ నేరస్థులు మరోసారి ఆర్థిక సంస్థలను లక్ష్యంగా చేసుకుంటున్నారు, ట్రేడింగ్ మరియు బ్రోకరేజ్ సంస్థలు గతంలో తెలియని GodRAT అనే రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ను అందిస్తున్న ప్రచారంలో ఉన్నాయి. ఈ దాడి ఆర్థిక పత్రాలుగా మారువేషంలో ఉన్న హానికరమైన .SCR ఫైల్‌ల ద్వారా వ్యాపిస్తుంది, వీటిని స్కైప్ మెసెంజర్ ద్వారా షేర్ చేస్తారు.

స్టెగానోగ్రఫీ ద్వారా దాచిన పేలోడ్‌లు

ఇటీవలి దర్యాప్తులో దాడి చేసినవారు ఇమేజ్ ఫైల్స్‌లో షెల్‌కోడ్‌ను దాచడానికి స్టెగానోగ్రఫీని ఉపయోగిస్తున్నారని తేలింది. ఈ దాచిన సూచనలు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి GodRAT డౌన్‌లోడ్‌ను ప్రేరేపిస్తాయి. ఈ ప్రచారం సెప్టెంబర్ 9, 2024 నుండి కొనసాగుతోందని, ఆగస్టు 12, 2025 వరకు కార్యకలాపాలు నమోదు చేయబడ్డాయని ఆధారాలు సూచిస్తున్నాయి. ప్రభావితమైన ప్రాంతాలలో హాంకాంగ్, యుఎఇ, లెబనాన్, మలేషియా మరియు జోర్డాన్ ఉన్నాయి.

Gh0st RAT నుండి GodRAT వరకు

GodRAT అనేది Gh0st RAT యొక్క ఆధునిక పరిణామంగా పరిగణించబడుతుంది, ఇది ట్రోజన్, దీని సోర్స్ కోడ్ 2008లో లీక్ అయింది మరియు అప్పటి నుండి చైనీస్ బెదిరింపు సమూహాలు దీనిని విస్తృతంగా స్వీకరించాయి. 2023లో బహిర్గతమైన మరియు ఫలవంతమైన సమూహం Winnti (APT41)కి ఆపాదించబడిన మరొక Gh0st RAT ఉత్పన్నం AwesomePuppet తో కూడా సారూప్యతలు కనుగొనబడ్డాయి.

ఈ మాల్వేర్ ప్లగిన్-ఆధారిత నిర్మాణంతో రూపొందించబడింది, ఇది సున్నితమైన సమాచారాన్ని సేకరించడానికి మరియు AsyncRAT వంటి అదనపు పేలోడ్‌లను అమలు చేయడానికి వీలు కల్పిస్తుంది.

ఇన్ఫెక్షన్ గొలుసు మరియు సాంకేతిక విచ్ఛిన్నం

ఈ దాడి .SCR ఫైల్స్ స్వీయ-సంగ్రహణ ఎక్జిక్యూటబుల్స్ గా పనిచేయడంతో ప్రారంభమవుతుంది. ఈ ఫైల్స్ బహుళ ఎంబెడెడ్ భాగాలను కలిగి ఉంటాయి, వీటిలో చట్టబద్ధమైన ఎక్జిక్యూటబుల్ ద్వారా సైడ్‌లోడ్ చేయబడిన హానికరమైన DLL కూడా ఉంటుంది. ఈ DLL .JPG ఇమేజ్‌లో దాగి ఉన్న షెల్‌కోడ్‌ను తిరిగి పొందుతుంది, ఇది చివరికి GodRAT యొక్క విస్తరణను అనుమతిస్తుంది.

ఒకసారి యాక్టివ్ అయిన తర్వాత, ట్రోజన్ TCP ద్వారా దాని C2 సర్వర్‌కు కనెక్ట్ అవుతుంది, సిస్టమ్ డేటా మరియు ఇన్‌స్టాల్ చేయబడిన యాంటీవైరస్ సాధనాలపై వివరాలను సేకరిస్తుంది. ఈ సమాచారాన్ని ప్రసారం చేసిన తర్వాత, C2 సర్వర్ ఆదేశాలను జారీ చేస్తుంది. ఈ సూచనలు మాల్వేర్‌కు వీటిని అనుమతిస్తాయి:

• అందుకున్న ప్లగిన్ DLL ని మెమరీలోకి ఇంజెక్ట్ చేయండి.
• సాకెట్ మూసివేసిన తర్వాత దాని ప్రక్రియను ముగించండి.
• CreateProcessA APIని ఉపయోగించి ఫైల్‌లను డౌన్‌లోడ్ చేసి అమలు చేయండి.
• ఇంటర్నెట్ ఎక్స్‌ప్లోరర్ ఆదేశాల ద్వారా నిర్దిష్ట URL లను తెరవండి

ప్లగిన్‌లతో సామర్థ్యాలను విస్తరించడం

ఒక ముఖ్యమైన ప్లగిన్, FileManager DLL, దాడి చేసేవారికి బాధితుడి సిస్టమ్‌పై విస్తృత నియంత్రణను ఇస్తుంది. ఇది ఫైల్ శోధనలు, మానిప్యులేషన్ మరియు ఫోల్డర్ బ్రౌజింగ్‌ను అనుమతిస్తుంది, అదే సమయంలో ద్వితీయ మాల్వేర్‌కు డెలివరీ సాధనంగా కూడా పనిచేస్తుంది. ధృవీకరించబడిన పేలోడ్‌లలో ఇవి ఉన్నాయి:

• Chrome మరియు Edge బ్రౌజర్‌లను లక్ష్యంగా చేసుకునే పాస్‌వర్డ్ స్టీలర్
• మరింత ఉపయోగం కోసం AsyncRAT ట్రోజన్

GodRAT బిల్డర్ మరియు పేలోడ్ ఎంపికలు

పరిశోధకులు GodRAT బిల్డర్ మరియు పూర్తి క్లయింట్ సోర్స్ కోడ్‌ను కనుగొన్నారు, దాని అనుకూలతను వెల్లడించారు. బిల్డర్ దాడి చేసేవారిని ఎక్జిక్యూటబుల్స్ లేదా DLLలను రూపొందించడానికి అనుమతిస్తుంది. ఎక్జిక్యూటబుల్ మార్గాన్ని ఎంచుకుంటే, వినియోగదారులు కోడ్ ఇంజెక్షన్ కోసం చట్టబద్ధమైన బైనరీలను ఎంచుకోవచ్చు, వీటిలో svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe మరియు QQScLauncher.exe ఉన్నాయి.

ఫలితంగా వచ్చే పేలోడ్‌లను .exe, .com, .bat, .scr మరియు .pifతో సహా వివిధ ఫార్మాట్‌లలో సేవ్ చేయవచ్చు.

లెగసీ కోడ్, ఆధునిక బెదిరింపు

GodRAT ఆవిష్కరణ, దాదాపు రెండు దశాబ్దాల క్రితం ప్రవేశపెట్టబడిన Gh0st RAT వంటి లెగసీ ఇంప్లాంట్లు నేటికీ ఎలా ప్రధాన ప్రమాదాలను కలిగిస్తాయో హైలైట్ చేస్తుంది. స్థిరమైన అనుసరణ మరియు పునర్వినియోగం దాడి చేసేవారికి ఈ సాధనాలను సంబంధితంగా ఉంచడానికి వీలు కల్పిస్తాయి, సైబర్ భద్రతా ప్రకృతి దృశ్యంలో వారి దీర్ఘకాలిక మనుగడను నిర్ధారిస్తాయి. నైపుణ్యం కలిగిన ప్రత్యర్థుల చేతుల్లో ఉంచినప్పుడు పాత మాల్వేర్ కోడ్‌బేస్‌లు కూడా శక్తివంతమైన ఆయుధాలుగా మిగిలిపోతాయని GodRAT గుర్తు చేస్తుంది.