Ticaret ve aracılık firmaları gibi finansal kurumlar, daha önce bildirilmemiş bir uzaktan erişim Truva atı sunan yeni bir kampanyanın hedefidir. Godrat.
Kaspersky araştırmacısı Saurabh Sharma, bugün yayınlanan teknik analizde, “kötü niyetli etkinlik, Skype Messenger aracılığıyla finansal belgeler olarak gizlenmiş kötü niyetli .scr (ekran tasarrufu) dosyalarının dağıtımını içeriyor.
12 Ağustos 2025 kadar yakın zamanda aktif olan saldırılarda, bir komut ve kontrol (C2) sunucusundan kötü amaçlı yazılımları indirmek için kullanılan görüntü dosyaları Shellcode içinde gizlemek için steganografi adı verilen bir teknik kullanıyor. Ekran koruyucu eserleri, 9 Eylül 2024’ten bu yana, Hong Kong, Birleşik Arap Emirlikleri, Lübnan, Malezya ve Ürdün gibi ülkeleri ve bölgeleri hedefleyen tespit edildi.
GH0ST sıçanına dayandığı değerlendirilen Godrat, hassas bilgileri toplamak ve Asyncrat gibi ikincil yükler sunmak için işlevselliğini artırmak için eklenti tabanlı bir yaklaşım izler. GH0ST Rat’ın kaynak kodunun 2008 yılında kamuya açık olduğunu ve o zamandan beri çeşitli Çin hack grupları tarafından kabul edildiğini belirtmek gerekir.
Rus siber güvenlik şirketi, kötü amaçlı yazılımın, 2023’te ilk olarak belgelenen ve üretken Çin tehdit aktörü Winnti’nin (AKA APT41) el işi olduğuna inanılan AwesomePuppet olarak bilinen başka bir GH0ST sıçan tabanlı arka kapının evrimi olduğunu söyledi.
Ekran Koruyucu Dosyaları, meşru bir yürütülebilir dosyanın yan yüklendiği kötü amaçlı bir DLL de dahil olmak üzere çeşitli gömülü dosyaları içeren kendi kendini ekleyen bir yürütülebilir dosyalar olarak işlev görür. DLL, daha sonra Godrat’ın dağıtımının yolunu açan bir .jpg görüntü dosyası içinde gizlenmiş kabuk kodunu çıkarır.
Truva atı, TCP üzerinden C2 sunucusu ile iletişim kurar, sistem bilgilerini toplar ve ana bilgisayarda yüklü antivirüs yazılımı listesini çeker. Yakalanan ayrıntılar C2 sunucusuna gönderilir, bundan sonra sunucu -izlemeye izin veren takip talimatlarıyla yanıt verir –
- Alınan bir eklentiyi belleğe enjekte edin
- Soketi kapatın ve sıçan işlemini sonlandırın
- Verilen bir URL’den bir dosya indirin ve CreateProcessa API’sini kullanarak başlatın
- Internet Explorer’ı açmak için kabuk komutunu kullanarak belirli bir URL’yi açın
Kötü amaçlı yazılım tarafından indirilen eklentilerden biri, dosya sistemini numaralandırabilen, dosya işlemlerini gerçekleştirebilen, klasörleri açabilen ve hatta belirli bir konumda dosyalar için aramalar çalıştırabilen bir FileManager DLL’dir. Eklenti ayrıca Google Chrome ve Microsoft Edge tarayıcıları ve Asyncrat Trojan için bir şifre stealer gibi ek yükler sunmak için de kullanılmıştır.
Kaspersky, Temmuz 2024’ün sonlarında Virustotal çevrimiçi kötü amaçlı yazılım tarayıcısına yüklenen Godrat istemcisi ve inşaatçı için tam kaynak kodunu keşfettiğini söyledi. İnşaatçı, yürütülebilir bir dosya veya DLL oluşturmak için kullanılabilir.
Yürütülebilir seçenek seçildiğinde, kullanıcılar kötü amaçlı kodun enjekte edildiği bir listeden meşru bir ikili seçme seçeneğine sahiptir: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, qqmusic.exe ve qqsclauncher.exe. Son yük, aşağıdaki dosya türlerinden biriyle kaydedilebilir: .exe, .com, .bat, .scr ve .pif.
Kaspersky, “Yaklaşık yirmi yıllık GH0ST sıçan gibi eski implant kod tabanları bugün kullanılmaya devam ediyor.” Dedi. Diyerek şöyle devam etti: “Bunlar genellikle çok çeşitli kurbanları hedeflemek için özelleştirilmiş ve yeniden inşa ediliyor.”
“Bu eski implantların çeşitli tehdit aktörleri tarafından uzun zamandır kullanıldığı bilinmektedir ve Godrat Discovery, GH0ST Rat gibi eski kod tabanlarının siber güvenlik manzarasında hala uzun bir ömür sürebileceğini göstermektedir.”