Троян GodRAT
Кіберзлочинці знову націлилися на фінансові організації, а торговельні та брокерські фірми опинилися в центрі уваги кампанії, що поширює раніше невідомий троян віддаленого доступу (RAT) під назвою GodRAT. Атака поширюється через шкідливі файли .SCR, замасковані під фінансові документи, які поширюються через месенджер Skype.
Зміст
Приховані корисні навантаження за допомогою стеганографії
Нещодавні розслідування показують, що зловмисники використовують стеганографію для приховування шелл-коду у файлах зображень. Ці приховані інструкції запускають завантаження GodRAT із сервера командування та управління (C2). Дані свідчать про те, що кампанія триває з 9 вересня 2024 року, а активність була зафіксована ще 12 серпня 2025 року. Серед постраждалих регіонів – Гонконг, ОАЕ, Ліван, Малайзія та Йорданія.
Від Gh0st RAT до GodRAT
GodRAT вважається сучасною еволюцією Gh0st RAT, трояна, вихідний код якого витік у 2008 році, і з того часу його широко використовують китайські групи зловмисників. Схожість також була виявлена з AwesomePuppet, ще однією похідною Gh0st RAT, викритою у 2023 році та приписуваною плідній групі Winnti (APT41).
Шкідливе програмне забезпечення розроблено зі структурою на основі плагінів, що дозволяє йому збирати конфіденційну інформацію та розгортати додаткові корисні навантаження, такі як AsyncRAT.
Ланцюг інфекції та технічний розпад
Атака починається з файлів .SCR, які діють як саморозпаковувальні виконувані файли. Ці файли містять кілька вбудованих компонентів, включаючи шкідливу DLL-бібліотеку, завантажену через легітимний виконуваний файл. Ця DLL-бібліотека отримує шелл-код, прихований у зображенні .JPG, що зрештою дозволяє розгорнути GodRAT.
Після активації троян підключається до свого сервера C2 через TCP, збираючи системні дані та деталі про встановлені антивірусні інструменти. Після передачі цієї інформації сервер C2 видає команди. Ці інструкції дозволяють шкідливому програмному забезпеченню:
- Вставити отриману DLL-бібліотеку плагіна в пам'ять.
- Завершити процес після закриття сокета.
- Завантажуйте та виконуйте файли за допомогою API CreateProcessA.
- Відкриття певних URL-адрес за допомогою команд Internet Explorer
Розширення можливостей за допомогою плагінів
Один помітний плагін, FileManager DLL, надає зловмисникам широкий контроль над системою жертви. Він дозволяє пошук файлів, маніпулювання ними та перегляд папок, а також служить інструментом доставки вторинного шкідливого програмного забезпечення. Підтверджені корисні навантаження включають:
- Викрадач паролів, спрямований на браузери Chrome та Edge
- Троян AsyncRAT для подальшої експлуатації
Конструктор GodRAT та параметри корисного навантаження
Дослідники виявили конструктор GodRAT та повний вихідний код клієнта, демонструючи його адаптивність. Конструктор дозволяє зловмисникам генерувати як виконувані файли, так і DLL-бібліотеки. Якщо вибрано маршрут виконуваного файлу, користувачі можуть вибирати легітимні бінарні файли для впровадження коду, включаючи svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe та QQScLauncher.exe.
Отримані корисні навантаження можна зберегти в різних форматах, включаючи .exe, .com, .bat, .scr та .pif.
Застарілий код, сучасна загроза
Відкриття GodRAT підкреслює, як застарілі імплантати, такі як Gh0st RAT, вперше представлені майже два десятиліття тому, досі становлять серйозні ризики. Постійна адаптація та перепрофілювання дозволяють зловмисникам підтримувати актуальність цих інструментів, забезпечуючи їхнє довгострокове виживання в ландшафті кібербезпеки. GodRAT служить нагадуванням про те, що навіть старі кодові бази шкідливих програм залишаються потужною зброєю, коли вони потрапляють до рук досвідчених супротивників.
