卡巴斯基实验室近日披露了一场针对金融机构,尤其是证券交易和经纪公司的高级网络间谍行动。攻击者通过一种新型远程控制木马 GodRAT 进行入侵,该木马被认为是臭名昭著的 Gh0st RAT 家族的衍生版本,主要通过伪装成金融文档的恶意文件在 Skype 内传播。
卡巴斯基指出:“2024 年 9 月,我们监测到针对金融(交易和经纪)公司的一系列恶意活动,攻击者通过 Skype 发送伪装成金融文件的 .scr(屏保)文件。该行动部署了一个名为 GodRAT 的新型远控木马,它基于 Gh0st RAT 的代码构建。”
利用隐写术隐藏代码
GodRAT 的突出特点是使用 隐写术(steganography)隐藏恶意代码。报告解释称:“加载器文件 SDL2.dll 会从一张包含财务信息图像的图片中提取隐藏的 shellcode 字节,随后分配内存、复制代码,并创建线程执行。”
激活后,shellcode 会连接远程控制服务器(C2 server),下载 GodRAT 主体并直接在内存中执行,以避免在磁盘上留下明显痕迹。
GodRAT 功能强大 模块化插件架构
GodRAT 不仅仅是一个普通远控木马,它采用了模块化插件结构。卡巴斯基观察到攻击者使用了 FileManager 插件 浏览受害者系统,并通过浏览器密码窃取器获取凭据。
该恶意软件具备以下能力:
· 在内存中直接注入插件 DLL
· 操作并窃取文件
· 下载和执行其他载荷
· 启动隐藏进程
· 收集系统、用户和杀毒软件信息
在第二阶段的载荷中,研究人员发现了专门针对 Chrome 和 Microsoft Edge 的密码窃取器,用于抓取存储的密码和加密密钥。
此外,攻击者还部署了 AsyncRAT 作为备用植入程序,用于冗余控制和延长长期潜伏能力。
与过去的 APT 有关联
卡巴斯基研究员指出:“GodRAT 与我们在 2023 年披露的 AwesomePuppet 后门(同样基于 Gh0st RAT)在代码和传播方式上非常相似,这表明它很可能是 AwesomePuppet 的演进版本,而 AwesomePuppet 又被认为与 Winnti APT 有关。”
该恶意软件甚至复用了一个异常的命令行参数 “-Puppet”,此前也出现在 AwesomePuppet 中,这进一步强化了二者之间的血缘关系。
攻击仍在活跃进行中
卡巴斯基确认:“截至本博客发布时,该攻击仍在进行中,最近一次检测记录为 2025 年 8 月 12 日。”
该机构警告道:“像 Gh0st RAT 这类已有近 20 年历史的老旧木马代码依然在现代威胁环境中被反复利用……GodRAT 的发现说明这些旧代码库依然具有极长的生命力。”
发表评论
您还未登录,请先登录。
登录