АйтарлықIT

GodRAT: жаңа қашықтан қол жеткізу трояны қаржылық құжаттар түрінде корпоративтік құрылғыларға енуде

Ақпарат ағыны

2 min read
GodRAT: жаңа қашықтан қол жеткізу трояны қаржылық құжаттар түрінде корпоративтік құрылғыларға енуде

Kaspersky GReAT (Kaspersky зерттеу және қауіп-қатердіталдау ғаламдық орталығы) мамандары жаңа қашықтанқол жеткізу троянын анықтады. Ол GodRAT деп аталды. Зиянкес .scr кеңейтімі бар, қаржылық құжаттарға ұқсатыпжасалған файлдар арқылы таралады. 2025 жылғы наурызайына дейін қаскөйлер оларды Skype арқылы жіберсе, кейін басқа арналарды пайдалана бастаған. Шабуылғанегізінен шағын және орта бизнес өкілдері — сауда жәнеброкерлік компаниялар — БАӘ, Гонконг, Иордания менЛиванда ұшыраған.

GodRAT туралы не белгілі

GodRAT-тың бастапқы коды көпсканерлі танымалсервиске 2024 жылдың шілде айында жүктелген. Құрылғы жұқтырылғаннан кейін троян операциялық жүйетуралы деректерді, жергілікті хост атауын, зияндыпроцестің атауы мен идентификаторын, пайдаланушытіркелгісін және орнатылған қорғау бағдарламаларынжинайды.

Қаскөйлер қалай әрекет етеді

Зерттеушілердің айтуынша, GodRAT қосымшаплагиндерді қолдайды. Зерттелген шабуыл барысындақаскөйлер FileManager плагинін жұққан жүйелерді талдауүшін, ал стилер бағдарламаларын Chrome және Microsoft Edge браузерлеріндегі тіркелгі деректерін ұрлау үшінқолданған. Бұған қоса, олар жүйеде ұзақ қалу үшінGodRAT-пен бірге екінші имплант ретінде AsyncRAT-тыпайдаланған.

Қаскөйлер өз белсенділігін жасыруға ұмтылады. GodRATV3.5_____dll.rar архивінде трояннан бөлек, зиянды жүктемені қай заңды файлға енгізуді таңдауғамүмкіндік беретін билдер бар. Сонымен қатар, оларқаржылық деректерге ұқсатып жасалған кескін файлынашелл-код жасыру үшін стеганографияны пайдаланған.

Сарапшы пікірі

«GodRAT — бұл біз 2023 жылы анықтағанAwesomePuppet-тің эволюцияланған түрі, ол, мүмкін, Winnti кибертобына байланысты болуы ықтимал. Зияндыбағдарламаға сілтейтін жайттар — таралу әдістері, белгілі бір командалық жол параметрлері, ондағанжылдар бойы белгілі Gh0st RAT-пен кодтық ұқсастығыжәне ортақ артефактілер. Қаскөйлер көбіне ескіимпланттарды өзгертіп, мүмкіндігінше көп құрбандардықамтуға тырысады. Бұл троян көпжылдық тарихы барқұралдардың да қазіргі киберқауіптер ландшафтыныңбір бөлігі бола алатынын көрсетеді», — дейді Kaspersky GReAT аға сарапшысы Леонид Безвершенко.

Мұндай киберқауіптерден қорғау үшін «Kaspersky зертханасы» ұйымдарға мынадай кеңес береді:

- қызметкерлерге арналған киберқауіпсіздік бойыншатұрақты тренингтер өткізу, соның ішінде олардыфишингті тануға үйрету (мысалы, Kaspersky Automated Security Awareness Platform онлайн-платформасыарқылы);

- корпоративтік құрылғыларды қорғауға арналған кешендішешімдерді пайдалану, олар кибершабуылдарды ертекезеңде анықтап, тоқтатуға мүмкіндік береді (мысалы, Kaspersky Symphony желісіндегі өнімдер).