Атакам подверглись предприятия малого и среднего бизнеса
Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новый троянец удалённого доступа, который получил название GodRAT. Он распространяется через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. До марта 2025 года злоумышленники отправляли их через Skypе, после чего переключились на другие каналы. Атакам подверглись предприятия малого и среднего бизнеса — главным образом трейдинговые и брокерские компании — в ОАЭ, Гонконге, Иордании и Ливане.
Что известно о GodRAT. Исходный код GodRAT обнаружен в популярном мультисканерном сервисе, куда был загружен ещё в июле 2024 года. После заражения устройства троянец собирает сведения об операционной системе, локальном имени хоста, названии вредоносного процесса и его идентификаторе, учётной записи пользователя и установленном защитном ПО.
Как действуют злоумышленники. Исследователи отмечают, что GodRAT поддерживает дополнительные плагины. В ходе изученной атаки злоумышленники использовали FileManager для анализа заражённых систем и программы-стилеры для кражи учётных данных в Chrome и Microsoft Edge. Вдобавок к GodRAT они задействовали зловред AsyncRAT в качестве второго импланта, чтобы дольше оставаться в системе.
Атакующие стремятся скрыть свою активность. Помимо обнаруженного троянца, архив GodRAT V3.5_______dll.rar включает в себя билдер — инструмент для быстрой сборки GodRAT. Он позволяет выбрать, в какой легитимный файл внедрить вредоносную нагрузку. Кроме того, злоумышленники использовали стеганографию, чтобы спрятать шелл-код в файле изображения с якобы финансовыми данными.
«GodRAT — это эволюционировавший AwesomePuppet, который мы нашли в 2023 году и который, вероятно, связан с кибергруппой Winnti. На связь зловредов указывают методы дистрибуции, определённые параметры командной строки, сходство кода с широко известным Gh0st RAT, который существует уже несколько десятилетий, и общие артефакты. Злоумышленники часто кастомизируют и переделывают старые импланты, чтобы охватить как можно больше жертв. Обнаруженный троянец подтверждает, что даже инструменты с многолетней историей могут быть частью современного ландшафта киберугроз», — комментирует Леонид Безвершенко, старший эксперт Kaspersky GReAT.
Для защиты от подобных киберугроз «Лаборатория Касперского» рекомендует организациям:
- регулярно проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их распознавать фишинг, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- использовать комплексное решение для защиты корпоративных устройств, которое позволяет обнаружить и остановить кибератаки на ранних стадиях, например из линейки Kaspersky Symphony.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 30 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
