Godrat adlı sofistike yeni uzaktan erişim Truva atı, finansal kurumlar için önemli bir tehdit olarak ortaya çıktı, aldatıcı ekran koruyucu dosyalarından ve organizasyonel ağlara sızmak için steganografik tekniklerden yararlandı.
İlk olarak Eylül 2024’te tespit edilen bu kötü amaçlı yazılım kampanyası, 12 Ağustos 2025 kadar yakın zamanda gözlemlenen ve devam eden ve gelişen bir tehdit manzarasını gösteren en son saldırılar ile dikkate değer bir kalıcılık göstermiştir.
Godrat’ın arkasındaki tehdit aktörleri, öncelikle Skype Messenger aracılığıyla ticaret ve aracılık firmalarını hedefleyen çok yönlü bir dağıtım stratejisi kullandılar.
.webp)
Onların yaklaşımı kötü niyetli .scr (ekran tasarrufu) ve .pif (program bilgi dosyası) dosyalarını meşru finansal belgeler olarak gizlemeyi ve iş iletişiminin doğasında var olan güveni kullanmayı içerir.
Kötü amaçlı yazılımların gelişimi, geleneksel güvenlik algılama mekanizmalarından kaçınmak için kabuk kodunu görünüşte zararsız görüntü dosyalarına yerleştiren gelişmiş steganografik teknikleri dahil ederek basit dosya maskelenmenin ötesine uzanır.
Securelist analistler, Godrat’ı daha önce belgelenmiş MüthişPuppet sıçanının bir evrimi olarak tanımladılar ve her ikisi de aynı altta yatan GH0ST RAT kod tabanı temelini paylaştılar.
.webp)
Bu genetik soy, potansiyel olarak Winnti APT Grubu’nun operasyonel kalıplarıyla bağlantılı olan mevcut saldırı metodolojilerinin kasıtlı bir şekilde iyileştirilmesini önermektedir.
Kötü amaçlı yazılımların coğrafi dağılımı özellikle Hong Kong, Birleşik Arap Emirlikleri, Ürdün, Lübnan ve Malezya’ya odaklanmış ve belirli bölgesel finans piyasalarına yönelik hedefli bir yaklaşımı göstermektedir.
Saldırı zaman çizelgesi, Hong Kong’daki ilk tespitlerle başlayan ve birden fazla Orta Doğu bölgesine genişleyen hesaplanmış bir yükseltmeyi ortaya koyuyor.
Tehdit aktörleri, yerel iş iletişimleriyle sorunsuz bir şekilde karışmak için tasarlanmış Çin ve Endonezya dil varyantları da dahil olmak üzere, dosya adlandırma kurallarını bölgesel dil tercihlerine ve iş bağlamlarına uyacak şekilde uyarlayarak operasyonel esneklik göstermiştir.
Gelişmiş steganografik enfeksiyon mekanizması
Godrat’ın en önemli teknik yeniliği, kötü amaçlı yazılım dağıtım tekniklerinde önemli bir ilerlemeyi temsil eden sofistike steganografik yük dağıtım sisteminde yatmaktadır.
Kötü amaçlı yazılım, iki aşamalı bir kabuk kodu yükleyici mimarisi kullanır, ikincil yükleyici, meşru finansal veriler içerdiği gibi görünen gömülü görüntü dosyalarından gizli kabuk kodunu çıkarır.
Steganografik uygulama, kabuk kodu baytlarının kötü amaçlı kodları gizlerken görsel olarak görüntülenen “2024-15_23.45.45.jpg” gibi görüntü dosyalarına gömülmeyi içerir.
.webp)
“SDL2.dll” yükleyici, bellek tahsis ederek, gizli kabuk kodu baytlarını kopyalayarak ve yürütme iş parçacıklarını ortaya çıkararak ekstraksiyon işlemini gerçekleştirir. Bu teknik, dosya başlığı analizine veya içerik taramasına dayanan geleneksel imza tabanlı algılama sistemlerini etkili bir şekilde atlar.
Başarılı ekstraksiyon üzerine, Shellcode yapılandırma işaretleyicisi “GodInfo” için bir arama başlatır ve ardından 0x63 anahtarını kullanarak tek bayt xor kod çözme izler.
Kod çözülmüş yapılandırma, C2 sunucusu ayrıntıları ve modül komut dizeleri dahil kritik çalışma parametreleri içerir.
Kötü amaçlı yazılım, daha sonra UPX dolu Godrat DLL modülleri ve tarayıcı kimlik bilgisi çalma yetenekleri de dahil olmak üzere ek yük bileşenlerinin indirilmesini tetikleyerek “getGod” kimlik doğrulama dizesini ileterek komut ve kontrol altyapısı ile iletişim kurar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.