GodRAT: жаңа қашықтан қол жеткізу трояны қаржылық құжаттар түрінде корпоративтік құрылғыларға енуде

Kaspersky GReAT (Kaspersky зерттеу және қауіп-қатерді талдау ғаламдық орталығы) мамандары жаңа қашықтан қол жеткізу троянын анықтады. Ол GodRAT деп аталды. Зиянкес .scr кеңейтімі бар, қаржылық құжаттарға ұқсатып жасалған файлдар арқылы таралады. 2025 жылғы наурыз айына дейін қаскөйлер оларды Skype арқылы жіберсе, кейін басқа арналарды пайдалана бастаған. Шабуылға негізінен шағын және орта бизнес өкілдері — сауда және брокерлік компаниялар — БАӘ, Гонконг, Иордания мен Ливанда ұшыраған.

GodRAT туралы не белгілі

GodRAT-тың бастапқы коды көпсканерлі танымал сервиске 2024 жылдың шілде айында жүктелген. Құрылғы жұқтырылғаннан кейін троян операциялық жүйе туралы деректерді, жергілікті хост атауын, зиянды процестің атауы мен идентификаторын, пайдаланушы тіркелгісін және орнатылған қорғау бағдарламаларын жинайды.

Қаскөйлер қалай әрекет етеді

Зерттеушілердің айтуынша, GodRAT қосымша плагиндерді қолдайды. Зерттелген шабуыл барысында қаскөйлер FileManager плагинін жұққан жүйелерді талдау үшін, ал стилер бағдарламаларын Chrome және Microsoft Edge браузерлеріндегі тіркелгі деректерін ұрлау үшін қолданған. Бұған қоса, олар жүйеде ұзақ қалу үшін GodRAT-пен бірге екінші имплант ретінде AsyncRAT-ты пайдаланған.

Қаскөйлер өз белсенділігін жасыруға ұмтылады. GodRATV3.5_____dll.rar архивінде трояннан бөлек, зиянды жүктемені қай заңды файлға енгізуді таңдауға мүмкіндік беретін билдер бар. Сонымен қатар, олар қаржылық деректерге ұқсатып жасалған кескін файлына шелл-код жасыру үшін стеганографияны пайдаланған.

Сарапшы пікірі

«**GodRAT — бұл біз 2023 жылы анықтаған AwesomePuppet-тің эволюцияланған түрі, ол, мүмкін, Winnti кибертобына байланысты болуы ықтимал. Зиянды бағдарламаға сілтейтін жайттар — таралу әдістері, белгілі бір командалық жол параметрлері, ондаған жылдар бойы белгілі Gh0st RAT-пен кодтық ұқсастығы және ортақ артефактілер. Қаскөйлер көбіне ескі импланттарды өзгертіп, мүмкіндігінше көп құрбандарды қамтуға тырысады. Бұл троян көпжылдық тарихы бар құралдардың да қазіргі киберқауіптер ландшафтының бір бөлігі бола алатынын көрсетеді», — дейді Kaspersky GReAT аға сарапшысы Леонид Безвершенко.

Мұндай киберқауіптерден қорғау үшін «Kaspersky зертханасы» ұйымдарға мынадай кеңес береді:

— қызметкерлерге арналған киберқауіпсіздік бойынша тұрақты тренингтер өткізу, соның ішінде оларды фишингті тануға үйрету (мысалы, Kaspersky Automated Security Awareness Platform онлайн-платформасы арқылы);

— корпоративтік құрылғыларды қорғауға арналған кешенді шешімдерді пайдалану, олар кибершабуылдарды ерте кезеңде анықтап, тоқтатуға мүмкіндік береді (мысалы, Kaspersky Symphony желісіндегі өнімдер).

Kaspersky GReAT туралы

Kaspersky GReAT — зерттеу және қауіп-қатерді талдау ғаламдық орталығы 2008 жылы құрылған. Оның міндетіне ең күрделі шабуылдарды, кибершпионаж кампанияларын, жаңа жұқтыру әдістерін және нөлдік күндік осалдықтарды пайдаланатын эксплойттарды іздеу мен зерттеу кіреді. Бүгінде орталық құрамында әлемнің түкпір-түкпірінде — Еуропада, Ресейде, Оңтүстік Америкада, Азияда, Таяу Шығыста — 30-дан астам сарапшы бар. Олар ең күрделі шабуылдарды, соның ішінде кибершпионаж және киберсаботаж кампанияларын зерттеудегі жетістіктерімен танымал.