GodRAT Trojan

Ang mga cybercriminal ay muling nagta-target ng mga organisasyong pampinansyal, na may mga trading at brokerage firm sa mga crosshair ng isang kampanyang naghahatid ng dati nang hindi kilalang remote access trojan (RAT) na pinangalanang GodRAT. Ang pag-atake ay kumakalat sa pamamagitan ng malisyosong .SCR na mga file na ibinahagi bilang mga pinansyal na dokumento, na ibinahagi sa pamamagitan ng Skype messenger.

Mga Nakatagong Payload sa pamamagitan ng Steganography

Ipinapakita ng mga kamakailang pagsisiyasat na ang mga umaatake ay gumagamit ng steganography upang itago ang shellcode sa loob ng mga file ng imahe. Ang mga nakatagong tagubiling ito ay nagti-trigger ng pag-download ng GodRAT mula sa isang Command-and-Control (C2) server. Iminumungkahi ng ebidensya na ang kampanya ay nagpapatuloy mula noong Setyembre 9, 2024, na may aktibidad na naitala kamakailan noong Agosto 12, 2025. Kabilang sa mga apektadong rehiyon ang Hong Kong, UAE, Lebanon, Malaysia, at Jordan.

Mula Gh0st RAT hanggang GodRAT

Ang GodRAT ay itinuturing na isang modernong ebolusyon ng Gh0st RAT, isang trojan na ang source code ay nag-leak noong 2008 at mula noon ay malawakang pinagtibay ng mga Chinese threat group. Natagpuan din ang mga pagkakatulad sa AwesomePuppet, isa pang Gh0st RAT derivative na na-expose noong 2023 at naiugnay sa prolific group na Winnti (APT41).

Ang malware ay idinisenyo gamit ang istrukturang nakabatay sa plugin, na nagbibigay-daan dito na makakuha ng sensitibong impormasyon at mag-deploy ng mga karagdagang payload gaya ng AsyncRAT.

Chain ng Impeksiyon at Teknikal na Pagkasira

Nagsisimula ang pag-atake sa mga .SCR file na kumikilos bilang mga self-extracting executable. Ang mga file na ito ay naglalaman ng maramihang naka-embed na bahagi, kabilang ang isang nakakahamak na DLL na naka-sideload sa pamamagitan ng isang lehitimong executable. Kinukuha ng DLL na ito ang shellcode na nakatago sa isang .JPG na imahe, na sa huli ay nagbibigay-daan sa pag-deploy ng GodRAT.

Kapag aktibo na, kumokonekta ang trojan sa C2 server nito sa pamamagitan ng TCP, nangangalap ng data ng system at mga detalye sa mga naka-install na antivirus tool. Pagkatapos ipadala ang impormasyong ito, ang C2 server ay naglalabas ng mga utos. Ang mga tagubiling ito ay nagbibigay-daan sa malware na:

• Mag-inject ng natanggap na plugin na DLL sa memorya.
• Tapusin ang proseso nito pagkatapos isara ang socket.
• Mag-download at magsagawa ng mga file gamit ang CreateProcessA API.
• Buksan ang mga partikular na URL sa pamamagitan ng mga utos ng Internet Explorer

Pagpapalawak ng Mga Kakayahan sa Mga Plugin

Isang kapansin-pansing plugin, ang FileManager DLL, ay nagbibigay sa mga umaatake ng malawak na kontrol sa sistema ng biktima. Nagbibigay-daan ito sa mga paghahanap ng file, pagmamanipula, at pagba-browse ng folder habang nagsisilbi rin bilang tool sa paghahatid para sa pangalawang malware. Kasama sa mga kumpirmadong payload ang:

• Isang magnanakaw ng password na nagta-target sa mga browser ng Chrome at Edge
• Ang AsyncRAT trojan para sa karagdagang pagsasamantala

GodRAT Builder at Payload Options

Natuklasan ng mga mananaliksik ang tagabuo ng GodRAT at buong source code ng kliyente, na nagpapakita ng kakayahang umangkop nito. Pinapayagan ng tagabuo ang mga umaatake na bumuo ng alinman sa mga executable o DLL. Kung pipiliin ang executable na ruta, maaaring pumili ang mga user ng mga lehitimong binary para sa pag-iniksyon ng code, kabilang ang svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe, at QQScLauncher.exe.

Maaaring i-save ang mga resultang payload sa iba't ibang format, kabilang ang .exe, .com, .bat, .scr, at .pif.

Legacy Code, Modernong Banta

Ang pagtuklas sa GodRAT ay nagha-highlight kung paano ang mga legacy na implant tulad ng Gh0st RAT—na unang ipinakilala halos dalawang dekada na ang nakalipas, ay nagdudulot pa rin ng malalaking panganib sa ngayon. Ang patuloy na pag-adapt at repurposing ay nagbibigay-daan sa mga umaatake na panatilihing may kaugnayan ang mga tool na ito, na tinitiyak ang kanilang pangmatagalang kaligtasan sa landscape ng cybersecurity. Ang GodRAT ay nagsisilbing paalala na kahit na ang mga lumang malware codebase ay nananatiling makapangyarihang sandata kapag inilagay sa mga kamay ng mga bihasang kalaban.