GodRAT โทรจัน

อาชญากรไซเบอร์กำลังมุ่งเป้าโจมตีองค์กรทางการเงินอีกครั้ง โดยบริษัทการค้าและนายหน้าซื้อขายหลักทรัพย์ตกเป็นเป้าโจมตีของแคมเปญที่ส่งโทรจันการเข้าถึงระยะไกล (RAT) ที่ไม่เคยมีใครรู้จักมาก่อนชื่อ GodRAT การโจมตีนี้แพร่กระจายผ่านไฟล์ .SCR อันตรายที่ปลอมตัวเป็นเอกสารทางการเงิน และแชร์ผ่านโปรแกรมส่งข้อความ Skype

เพย์โหลดที่ซ่อนอยู่ผ่านสเตกาโนกราฟี

การตรวจสอบล่าสุดแสดงให้เห็นว่าผู้โจมตีกำลังใช้เทคนิคซ่อนเร้น (steganography) เพื่อปกปิด shellcode ภายในไฟล์อิมเมจ คำสั่งที่ซ่อนอยู่เหล่านี้จะกระตุ้นให้มีการดาวน์โหลด GodRAT จากเซิร์ฟเวอร์ Command-and-Control (C2) หลักฐานบ่งชี้ว่าการโจมตีนี้ดำเนินมาตั้งแต่วันที่ 9 กันยายน 2567 โดยมีการบันทึกกิจกรรมล่าสุดเมื่อวันที่ 12 สิงหาคม 2568 ภูมิภาคที่ได้รับผลกระทบ ได้แก่ ฮ่องกง สหรัฐอาหรับเอมิเรตส์ เลบานอน มาเลเซีย และจอร์แดน

จาก Gh0st RAT สู่ GodRAT

GodRAT ถือเป็นวิวัฒนาการสมัยใหม่ของ Gh0st RAT ซึ่งเป็นโทรจันที่ซอร์สโค้ดรั่วไหลในปี 2008 และต่อมาก็ได้รับการยอมรับอย่างกว้างขวางจากกลุ่มภัยคุกคามชาวจีน นอกจากนี้ยังพบความคล้ายคลึงกับ AwesomePuppet ซึ่งเป็นอีกสายพันธุ์หนึ่งของ Gh0st RAT ที่ถูกเปิดเผยในปี 2023 และเชื่อว่าเป็นของกลุ่ม Winnti (APT41) ที่มีผลงานมากมาย

มัลแวร์ได้รับการออกแบบด้วยโครงสร้างแบบปลั๊กอิน ซึ่งทำให้สามารถรวบรวมข้อมูลที่ละเอียดอ่อนและปรับใช้เพย์โหลดเพิ่มเติม เช่น AsyncRAT

ห่วงโซ่การติดเชื้อและการพังทลายทางเทคนิค

การโจมตีเริ่มต้นด้วยไฟล์ .SCR ที่ทำหน้าที่เป็นไฟล์ปฏิบัติการที่สามารถแตกไฟล์ได้เอง ไฟล์เหล่านี้ประกอบด้วยส่วนประกอบฝังตัวหลายตัว รวมถึงไฟล์ DLL อันตรายที่โหลดจากไฟล์ปฏิบัติการที่ถูกต้องตามกฎหมาย ไฟล์ DLL นี้จะดึงเชลล์โค้ดที่ซ่อนอยู่ในไฟล์ .JPG ซึ่งทำให้สามารถใช้งาน GodRAT ได้ในที่สุด

เมื่อเปิดใช้งานแล้ว โทรจันจะเชื่อมต่อกับเซิร์ฟเวอร์ C2 ผ่าน TCP เพื่อรวบรวมข้อมูลระบบและรายละเอียดเกี่ยวกับเครื่องมือป้องกันไวรัสที่ติดตั้งไว้ หลังจากส่งข้อมูลนี้แล้ว เซิร์ฟเวอร์ C2 จะออกคำสั่ง ซึ่งคำสั่งเหล่านี้จะช่วยให้มัลแวร์สามารถ:

• ฉีด DLL ปลั๊กอินที่ได้รับเข้าไปในหน่วยความจำ
• ยุติกระบวนการหลังจากปิดซ็อกเก็ต
• ดาวน์โหลดและดำเนินการไฟล์โดยใช้ CreateProcessA API
• เปิด URL เฉพาะผ่านคำสั่ง Internet Explorer

การขยายความสามารถด้วยปลั๊กอิน

ปลั๊กอินที่น่าสนใจตัวหนึ่งคือ FileManager DLL ซึ่งให้สิทธิ์ผู้โจมตีในการควบคุมระบบของเหยื่อได้อย่างกว้างขวาง ปลั๊กอินนี้ช่วยให้สามารถค้นหาไฟล์ จัดการ และเรียกดูโฟลเดอร์ได้ อีกทั้งยังทำหน้าที่เป็นเครื่องมือสำหรับส่งมัลแวร์สำรองอีกด้วย เพย์โหลดที่ได้รับการยืนยันแล้วประกอบด้วย:

• โปรแกรมขโมยรหัสผ่านที่กำหนดเป้าหมายไปที่เบราว์เซอร์ Chrome และ Edge
• โทรจัน AsyncRAT สำหรับการใช้ประโยชน์เพิ่มเติม

GodRAT Builder และตัวเลือก Payload

นักวิจัยได้ค้นพบซอร์สโค้ดของ GodRAT builder และไคลเอนต์แบบเต็ม ซึ่งเผยให้เห็นถึงความสามารถในการปรับเปลี่ยน ตัว builder นี้ช่วยให้ผู้โจมตีสามารถสร้างไฟล์ปฏิบัติการหรือไฟล์ DLL ได้ หากเลือกเส้นทางการเรียกใช้งาน ผู้ใช้สามารถเลือกไฟล์ไบนารีที่ถูกต้องสำหรับการแทรกโค้ดได้ ซึ่งรวมถึง svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe และ QQScLauncher.exe

เพย์โหลดที่ได้อาจได้รับการบันทึกในรูปแบบต่างๆ รวมถึง .exe, .com, .bat, .scr และ .pif

รหัสเก่า ภัยคุกคามสมัยใหม่

การค้นพบ GodRAT ตอกย้ำว่าอิมแพลนต์แบบเก่าอย่าง Gh0st RAT ซึ่งเปิดตัวครั้งแรกเมื่อเกือบสองทศวรรษก่อน ยังคงก่อให้เกิดความเสี่ยงสำคัญในปัจจุบัน การปรับตัวและการนำกลับมาใช้ใหม่อย่างต่อเนื่องช่วยให้ผู้โจมตียังคงใช้เครื่องมือเหล่านี้ได้อย่างมีประสิทธิภาพ และทำให้มั่นใจได้ว่าเครื่องมือเหล่านี้จะอยู่รอดได้ในระยะยาวในแวดวงความมั่นคงปลอดภัยไซเบอร์ GodRAT ทำหน้าที่เป็นเครื่องเตือนใจว่าแม้แต่ฐานโค้ดมัลแวร์เก่าๆ ก็ยังคงถือเป็นอาวุธที่ทรงพลังเมื่ออยู่ในมือของศัตรูที่เชี่ยวชาญ