卡巴斯基全球研究与分析团队 (GReAT) 发现了一种名为 GodRAT 的新型远程访问木马。该木马伪装成财务文件,以恶意屏幕保护程序文件的形式传播,并通过 Skype 即时通讯软件分发,直到 2025 年 3 月之后才转向其他渠道。此次攻击活动主要针对阿联酋、约旦和黎巴嫩的中小型企业。
攻击者部署了一种新发现的远程访问木马 (RAT),名为 GodRAT。该木马于2024年7月被上传至知名在线扫描平台,出现在某客户的源代码中。被上传的名为“GodRAT V3.5_______dll.rar”的压缩包内同时包含GodRAT构建器,能够生成可执行文件和DLL两种有效载荷。该构建器允许攻击者选择合法进程名称(如svchost.exe、cmd.exe、wscript.exe)进行代码注入,从而伪装恶意载荷,并支持将最终文件保存为多种格式,包括.exe、.com、.bat、.scr和.pif。
为了躲避检测,攻击者使用隐写术将shellcode嵌入到描绘财务数据的图像文件中。这段shellcode会从命令和控制(C2)服务器下载GodRAT恶意软件。随后,该远程访问木马(RAT) 使用其配置数据块中指定的端口与 C2 服务器建立 TCP 连接。该恶意软件会收集操作系统详细信息、本地主机名、恶意软件进程名称和进程 ID、与恶意软件进程关联的用户账户、已安装的防病毒软件以及捕获驱动程序的情况。
GodRAT支持加载额外插件,成功安装后,攻击者会利用文件管理器插件浏览受害者的系统,并部署针对Chrome与Microsoft Edge的密码窃取程序以获取凭证数据。除了 GodRAT 之外,攻击者还使用了 AsyncRAT 作为辅助植入物以维持长时间的访问。
“GodRAT 似乎是 AwesomePuppet 的进化版本,后者于 2023 年由卡巴斯基报告,且可能与 Winnti APT 组织有关联。其分发方式、罕见的命令行参数、与Gh0st RAT的代码相似性以及共有的特征标识(如独特的指纹文件头),都表明它们师出同源。尽管已有近二十年历史,但Gh0st RAT等传统植入程序代码库仍被攻击者积极使用,通常被定制和重新构建以针对广泛的受害者群体。GodRAT的发现印证了这类长期已知的黑客工具如何在当今的网络安全环境中保持其相关性,”卡巴斯基全球研究与分析团队安全研究员Saurabh Sharma评论说。
更多详细信息,请参阅Securelist.com上的报告。
为确保安全,卡巴斯基建议:
· 定期更新您的操作系统、浏览器、反病毒软件及其他程序。攻击者通常会利用软件中的漏洞来入侵系统。
· 为保护企业免受此类威胁,建议采用卡巴斯基Next产品线的解决方案,该系列产品提供实时防护、威胁可视化、调查及响应能力,涵盖EDR(端点检测与响应)和XDR(扩展检测与响应)功能,适用于任何规模和行业的组织。
· 您可以在 Windows 设置中启用“显示文件扩展名”选项。这将使辨别潜在恶意文件变得更容易。由于木马是程序,您应当警惕和远离诸如“exe”、“vbs”和“scr”等扩展名的文件。您需要保持警惕,因为许多常见的文件类型也可能具有危险性。欺诈者可能会使用多重扩展名将恶意文件伪装成视频、照片或文档(例如 hot-chics.avi.exe 或 doc.scr)。
关于全球研究与分析团队
全球研究与分析团队(GReAT)成立于 2008 年,是卡巴斯基的核心部门,负责揭露 APT、网络间谍活动、重大恶意软件、勒索软件和全球地下网络犯罪趋势。目前,GReAT 由 40 多名专家组成,他们在欧洲、俄罗斯、美洲、亚洲和中东等全球范围内工作。这些才华横溢的安全专业人员为公司的反恶意软件研究和创新发挥着领导作用,他们以无与伦比的专业知识、热情和好奇心致力于发现和分析网络威胁。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务,以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情,请访问www.kaspersky.com。
