Trojan GodRAT
Tội phạm mạng một lần nữa lại nhắm vào các tổ chức tài chính, với các công ty giao dịch và môi giới nằm trong tầm ngắm của một chiến dịch phát tán trojan truy cập từ xa (RAT) chưa từng được biết đến trước đây có tên GodRAT. Cuộc tấn công này lây lan qua các tệp .SCR độc hại được ngụy trang dưới dạng tài liệu tài chính, được chia sẻ qua Skype Messenger.
Mục lục
Tải trọng ẩn thông qua kỹ thuật ẩn chữ
Các cuộc điều tra gần đây cho thấy kẻ tấn công đang sử dụng kỹ thuật ẩn mã để che giấu shellcode trong các tệp hình ảnh. Những lệnh ẩn này kích hoạt việc tải xuống GodRAT từ máy chủ Command-and-Control (C2). Bằng chứng cho thấy chiến dịch này đã diễn ra từ ngày 9 tháng 9 năm 2024, với hoạt động được ghi nhận gần đây nhất là ngày 12 tháng 8 năm 2025. Các khu vực bị ảnh hưởng bao gồm Hồng Kông, UAE, Lebanon, Malaysia và Jordan.
Từ Gh0st RAT đến GodRAT
GodRAT được coi là phiên bản tiến hóa hiện đại của Gh0st RAT, một trojan có mã nguồn bị rò rỉ vào năm 2008 và kể từ đó đã được các nhóm tin tặc Trung Quốc sử dụng rộng rãi. Những điểm tương đồng cũng được tìm thấy với AwesomePuppet, một biến thể khác của Gh0st RAT bị phát hiện vào năm 2023 và được cho là thuộc về nhóm Winnti (APT41) khét tiếng.
Phần mềm độc hại này được thiết kế theo cấu trúc dựa trên plugin, cho phép thu thập thông tin nhạy cảm và triển khai các phần mềm bổ sung như AsyncRAT.
Chuỗi lây nhiễm và sự cố kỹ thuật
Cuộc tấn công bắt đầu bằng các tệp .SCR hoạt động như các tệp thực thi tự giải nén. Các tệp này chứa nhiều thành phần nhúng, bao gồm một DLL độc hại được tải qua một tệp thực thi hợp lệ. DLL này sẽ truy xuất shellcode ẩn trong một ảnh .JPG, từ đó cho phép triển khai GodRAT.
Khi hoạt động, trojan kết nối với máy chủ C2 qua TCP, thu thập dữ liệu hệ thống và thông tin chi tiết về các công cụ diệt virus đã cài đặt. Sau khi truyền thông tin này, máy chủ C2 sẽ phát lệnh. Các lệnh này cho phép phần mềm độc hại:
- Đưa DLL plugin đã nhận vào bộ nhớ.
- Kết thúc tiến trình sau khi đóng socket.
- Tải xuống và thực thi các tệp bằng API CreateProcessA.
- Mở các URL cụ thể thông qua các lệnh của Internet Explorer
Mở rộng khả năng với các plugin
Một plugin đáng chú ý, FileManager DLL, cho phép kẻ tấn công kiểm soát toàn bộ hệ thống của nạn nhân. Nó cho phép tìm kiếm tệp, thao tác và duyệt thư mục, đồng thời đóng vai trò là công cụ phát tán phần mềm độc hại thứ cấp. Các tải trọng đã được xác nhận bao gồm:
- Một kẻ đánh cắp mật khẩu nhắm vào trình duyệt Chrome và Edge
- Trojan AsyncRAT để khai thác thêm
Tùy chọn GodRAT Builder và Payload
Các nhà nghiên cứu đã phát hiện ra trình xây dựng GodRAT và mã nguồn máy khách đầy đủ, cho thấy khả năng thích ứng của nó. Trình xây dựng này cho phép kẻ tấn công tạo ra các tệp thực thi hoặc DLL. Nếu chọn đường dẫn thực thi, người dùng có thể chọn các tệp nhị phân hợp lệ để chèn mã, bao gồm svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe và QQScLauncher.exe.
Các tập tin tải trọng kết quả có thể được lưu ở nhiều định dạng khác nhau, bao gồm .exe, .com, .bat, .scr và .pif.
Mã cũ, mối đe dọa hiện đại
Việc phát hiện ra GodRAT cho thấy các mã độc cũ như Gh0st RAT - được giới thiệu lần đầu cách đây gần hai thập kỷ - vẫn tiềm ẩn những rủi ro lớn cho đến ngày nay. Việc liên tục điều chỉnh và tái sử dụng cho phép kẻ tấn công duy trì tính hữu dụng của các công cụ này, đảm bảo sự tồn tại lâu dài của chúng trong bối cảnh an ninh mạng. GodRAT là lời nhắc nhở rằng ngay cả các cơ sở mã độc cũ vẫn là vũ khí lợi hại khi rơi vào tay những kẻ tấn công lão luyện.
