GodRAT: троянец удаленного доступа проникает на корпоративные устройства под видом финансовых документов

Новостная редакция -



Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новый троянец удалённого доступа, который получил название GodRAT. Он распространяется через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. До марта 2025 года злоумышленники отправляли их через Skypе, после чего переключились на другие каналы. Атакам подверглись предприятия малого и среднего бизнеса — главным образом трейдинговые и брокерские компании — в ОАЭ, Гонконге, Иордании и Ливане.

Что известно о GodRAT

Исходный код GodRAT обнаружен в популярном мультисканерном сервисе, куда был загружен ещё в июле 2024 года. После заражения устройства троянец собирает сведения об операционной системе, локальном имени хоста, названии вредоносного процесса и его идентификаторе, учётной записи пользователя и установленном защитном ПО.

Как действуют злоумышленники

Исследователи отмечают, что GodRAT поддерживает дополнительные плагины. В ходе изученной атаки злоумышленники использовали FileManager для анализа заражённых систем и программы-стилеры для кражи учётных данных в Chrome и Microsoft Edge. Вдобавок к GodRAT они задействовали зловред AsyncRAT в качестве второго импланта, чтобы дольше оставаться в системе.

Атакующие стремятся скрыть свою активность

Помимо обнаруженного троянца, архив GodRAT V3.5_______dll.rar включает в себя билдер — инструмент для быстрой сборки GodRAT. Он позволяет выбрать, в какой легитимный файл внедрить вредоносную нагрузку. Кроме того, злоумышленники использовали стеганографию, чтобы спрятать шелл-код в файле изображения с якобы финансовыми данными.

«GodRAT — это эволюционировавший AwesomePuppet, который мы нашли в 2023 году и который, вероятно, связан с кибергруппой Winnti. На связь зловредов указывают методы дистрибуции, определённые параметры командной строки, сходство кода с широко известным Gh0st RAT, который существует уже несколько десятилетий, и общие артефакты. Злоумышленники часто кастомизируют и переделывают старые импланты, чтобы охватить как можно больше жертв. Обнаруженный троянец подтверждает, что даже инструменты с многолетней историей могут быть частью современного ландшафта киберугроз», — комментирует Леонид Безвершенко, старший эксперт Kaspersky GReAT.

Для защиты от подобных киберугроз «Лаборатория Касперского» рекомендует организациям:

•   регулярно проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их распознавать фишинг;

•   использовать комплексное решение для защиты корпоративных устройств, которое позволяет обнаружить и остановить кибератаки на ранних стадиях.