GodRAT Truva Atı

Siber suçlular, daha önce bilinmeyen GodRAT adlı bir uzaktan erişim trojanını (RAT) kullanan bir saldırının hedefi haline gelerek, finans kuruluşlarını bir kez daha hedef alıyor. Saldırı, Skype Messenger üzerinden paylaşılan ve finansal belge kılığına girmiş kötü amaçlı .SCR dosyaları aracılığıyla yayılıyor.

Steganografi Yoluyla Gizli Yükler

Son araştırmalar, saldırganların görüntü dosyalarına kabuk kodunu gizlemek için steganografi kullandığını gösteriyor. Bu gizli talimatlar, GodRAT'ın bir Komuta ve Kontrol (C2) sunucusundan indirilmesini tetikliyor. Kanıtlar, saldırının 9 Eylül 2024'ten beri devam ettiğini ve en son 12 Ağustos 2025'te faaliyet kaydedildiğini gösteriyor. Etkilenen bölgeler arasında Hong Kong, BAE, Lübnan, Malezya ve Ürdün yer alıyor.

Gh0st RAT’tan GodRAT’a

GodRAT, kaynak kodu 2008'de sızdırılan ve o zamandan beri Çinli tehdit grupları tarafından yaygın olarak kullanılan bir trojan olan Gh0st RAT'ın modern bir evrimi olarak kabul ediliyor. 2023'te ifşa edilen ve Winnti (APT41) adlı üretken gruba atfedilen bir diğer Gh0st RAT türevi olan AwesomePuppet ile de benzerlikler bulundu.

Kötü amaçlı yazılım, hassas bilgileri toplamasına ve AsyncRAT gibi ek yükler dağıtmasına olanak tanıyan eklenti tabanlı bir yapı ile tasarlanmıştır.

Enfeksiyon Zinciri ve Teknik Arıza

Saldırı, kendi kendini açan yürütülebilir dosyalar gibi davranan .SCR dosyalarıyla başlıyor. Bu dosyalar, meşru bir yürütülebilir dosya aracılığıyla yüklenen kötü amaçlı bir DLL de dahil olmak üzere birden fazla gömülü bileşen içeriyor. Bu DLL, bir .JPG görüntüsünde gizlenmiş kabuk kodunu alıyor ve bu da nihayetinde GodRAT'ın dağıtımını sağlıyor.

Truva atı etkinleştiğinde, TCP üzerinden C2 sunucusuna bağlanır ve sistem verilerini ve yüklü antivirüs araçlarının ayrıntılarını toplar. Bu bilgileri ilettikten sonra, C2 sunucusu komutlar gönderir. Bu talimatlar kötü amaçlı yazılımın şunları yapmasını sağlar:

• Alınan eklenti DLL'ini belleğe enjekte et.
• Soketi kapattıktan sonra işlemini sonlandırın.
• CreateProcessA API'sini kullanarak dosyaları indirin ve çalıştırın.
• Internet Explorer komutlarıyla belirli URL'leri açın

Eklentilerle Yetenekleri Genişletme

Dikkat çeken eklentilerden biri olan FileManager DLL, saldırganlara kurbanın sistemi üzerinde geniş bir kontrol sağlar. Dosya arama, düzenleme ve klasör tarama gibi işlevlerin yanı sıra ikincil kötü amaçlı yazılımlar için bir dağıtım aracı görevi de görür. Doğrulanmış zararlı yazılımlar şunlardır:

• Chrome ve Edge tarayıcılarını hedef alan bir şifre hırsızı
• Daha fazla istismar için AsyncRAT Truva Atı

GodRAT Oluşturucu ve Yük Seçenekleri

Araştırmacılar, GodRAT oluşturucusunu ve istemcinin tam kaynak kodunu ortaya çıkararak uyarlanabilirliğini ortaya çıkardı. Oluşturucu, saldırganların çalıştırılabilir dosyalar veya DLL'ler oluşturmasına olanak tanır. Çalıştırılabilir dosya yolu seçilirse, kullanıcılar kod enjeksiyonu için svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe ve QQScLauncher.exe gibi geçerli ikili dosyaları seçebilir.

Elde edilen yükler .exe, .com, .bat, .scr ve .pif gibi çeşitli formatlarda kaydedilebilir.

Eski Kod, Modern Tehdit

GodRAT'ın keşfi, yaklaşık yirmi yıl önce ilk kez tanıtılan Gh0st RAT gibi eski yazılımların bugün bile büyük riskler taşıdığını gözler önüne seriyor. Sürekli uyarlama ve yeniden kullanım, saldırganların bu araçları güncel tutmalarını ve siber güvenlik alanında uzun vadeli hayatta kalmalarını sağlıyor. GodRAT, eski kötü amaçlı yazılım kod tabanlarının bile yetenekli rakiplerin eline geçtiğinde güçlü silahlar olarak kaldığını hatırlatıyor.