GodRAT 木马

网络犯罪分子再次将金融机构作为攻击目标，交易公司和经纪公司成为攻击目标，该活动传播了一种此前未知的远程访问木马 (RAT)，名为 GodRAT。该攻击通过伪装成财务文档的恶意 .SCR 文件进行传播，并通过 Skype Messenger 共享。

通过隐写术隐藏有效载荷

最近的调查显示，攻击者使用隐写术将 Shellcode 隐藏在图像文件中。这些隐藏的指令会触发从命令与控制 (C2) 服务器下载 GodRAT。有证据表明，该攻击活动自 2024 年 9 月 9 日以来一直持续，最近的活动记录于 2025 年 8 月 12 日。受影响的地区包括香港、阿联酋、黎巴嫩、马来西亚和约旦。

从 Gh0st RAT 到 GodRAT

GodRAT 被认为是 Gh0st RAT 的现代演化版本，Gh0st RAT 是一种木马，其源代码于 2008 年泄露，此后被中国威胁组织广泛采用。此外，还发现了与 AwesomePuppet 的相似之处，AwesomePuppet 是另一个 Gh0st RAT 的衍生版本，于 2023 年曝光，并被归咎于活跃的 Winnti (APT41) 组织。

该恶意软件采用基于插件的结构设计，使其能够收集敏感信息并部署额外的有效载荷，如 AsyncRAT。

感染链和技术故障

攻击始于充当自解压可执行文件的 .SCR 文件。这些文件包含多个嵌入式组件，其中包括一个通过合法可执行文件侧载的恶意 DLL。该 DLL 会检索隐藏在 .JPG 图像中的 Shellcode，最终实现 GodRAT 的部署。

一旦激活，该木马就会通过 TCP 连接到其 C2 服务器，收集系统数据以及已安装杀毒工具的详细信息。传输这些信息后，C2 服务器会发出命令。这些指令允许恶意软件执行以下操作：

• 将接收到的插件 DLL 注入内存。
• 关闭套接字后终止其进程。
• 使用 CreateProcessA API 下载并执行文件。
• 通过 Internet Explorer 命令打开特定的 URL

使用插件扩展功能

值得关注的插件 FileManager DLL 能够让攻击者广泛控制受害者的系统。它不仅支持文件搜索、操作和文件夹浏览，还能充当二级恶意软件的传播工具。已确认的有效载荷包括：

• 针对 Chrome 和 Edge 浏览器的密码窃取程序
• AsyncRAT 木马的进一步利用

GodRAT 构建器和 Payload 选项

研究人员发现了 GodRAT 构建器及其完整的客户端源代码，揭示了其适应性。该构建器允许攻击者生成可执行文件或 DLL。如果选择可执行文件，用户可以选择合法的二进制文件进行代码注入，包括 svchost.exe、cmd.exe、cscript.exe、curl.exe、wscript.exe、QQMusic.exe 和 QQScLauncher.exe。

生成的有效载荷可以保存为多种格式，包括.exe、.com、.bat、.scr 和 .pif。

遗留代码，现代威胁

GodRAT 的发现凸显了像 Gh0st RAT 这样近二十年前首次出现的传统植入工具，至今仍构成重大风险。攻击者不断调整和重新利用这些工具，确保其在网络安全领域长期生存。GodRAT 提醒我们，即使是老旧的恶意软件代码库，在高手手中也能成为强大的武器。