GodRAT 木馬

網路犯罪分子再次將金融機構作為攻擊目標，交易公司和經紀公司成為攻擊目標，該活動傳播了一種先前未知的遠端訪問木馬 (RAT)，名為 GodRAT。該攻擊透過偽裝成財務文件的惡意 .SCR 檔案進行傳播，並透過 Skype Messenger 分享。

透過隱寫術隱藏有效載荷

最近的調查顯示，攻擊者使用隱寫術將 Shellcode 隱藏在影像檔案中。這些隱藏的指令會觸發從命令與控制 (C2) 伺服器下載 GodRAT。有證據表明，該攻擊活動自 2024 年 9 月 9 日以來一直持續，最近的活動記錄於 2025 年 8 月 12 日。受影響的地區包括香港、阿聯酋、黎巴嫩、馬來西亞和約旦。

從 Gh0st RAT 到 GodRAT

GodRAT 被認為是 Gh0st RAT 的現代演化版本，Gh0st RAT 是一種木馬，其原始碼於 2008 年洩露，此後被中國威脅組織廣泛採用。此外，還發現了與 AwesomePuppet 的相似之處，AwesomePuppet 是另一個 Gh0st RAT 的衍生版本，於 2023 年曝光，並被歸咎於活躍的 Winnti (APT41) 組織。

該惡意軟體採用基於插件的結構設計，使其能夠收集敏感資訊並部署額外的有效載荷，如 AsyncRAT。

感染鍊和技術故障

攻擊始於充當自解壓縮可執行檔的 .SCR 檔案。這些檔案包含多個嵌入式元件，其中包括一個透過合法可執行檔案側載的惡意 DLL。此 DLL 會擷取隱藏在 .JPG 映像中的 Shellcode，最終實現 GodRAT 的部署。

一旦激活，該木馬就會透過 TCP 連接到其 C2 伺服器，收集系統資料以及已安裝防毒工具的詳細資訊。傳輸這些資訊後，C2 伺服器會發出命令。這些指令允許惡意軟體執行以下操作：

• 將接收到的插件 DLL 注入記憶體。
• 關閉套接字後終止其進程。
• 使用 CreateProcessA API 下載並執行檔案。
• 透過 Internet Explorer 指令開啟特定的 URL

使用插件擴充功能

值得關注的外掛程式 FileManager DLL 能夠讓攻擊者廣泛控制受害者的系統。它不僅支援文件搜尋、操作和資料夾瀏覽，還能充當二級惡意軟體的傳播工具。已確認的有效載荷包括：

• 針對 Chrome 和 Edge 瀏覽器的密碼竊取程序
• AsyncRAT 木馬的進一步利用

GodRAT 建構器和 Payload 選項

研究人員發現了 GodRAT 建構器及其完整的客戶端原始碼，揭示了其適應性。此建構器允許攻擊者產生可執行檔或 DLL。如果選擇可執行文件，使用者可以選擇合法的二進位進行程式碼注入，包括 svchost.exe、cmd.exe、cscript.exe、curl.exe、wscript.exe、QQMusic.exe 和 QQScLauncher.exe。

產生的有效載荷可以儲存為多種格式，包括.exe、.com、.bat、.scr 和 .pif。

遺留程式碼，現代威脅

GodRAT 的發現凸顯了像 Gh0st RAT 這樣近二十年前首次出現的傳統植入工具，至今仍構成重大風險。攻擊者不斷調整和重新利用這些工具，確保其在網路安全領域中長期生存。 GodRAT 提醒我們，即使是老舊的惡意軟體程式碼庫，在高手手中也能成為強大的武器。