GodRATトロイの木馬
サイバー犯罪者は再び金融機関を標的にしており、トレーディング会社や証券会社が、これまで知られていなかったリモートアクセス型トロイの木馬(RAT)「GodRAT」を拡散する攻撃の標的となっています。この攻撃は、金融文書を装った悪意のある.SCRファイルをSkypeメッセンジャーで共有することで拡散します。
目次
ステガノグラフィーによる隠されたペイロード
最近の調査によると、攻撃者はステガノグラフィを用いて画像ファイルにシェルコードを隠蔽していることが判明しています。これらの隠された命令は、コマンドアンドコントロール(C2)サーバーからGodRATのダウンロードをトリガーします。証拠によると、このキャンペーンは2024年9月9日から継続しており、最近の2025年8月12日にも活動が記録されています。影響を受ける地域には、香港、UAE、レバノン、マレーシア、ヨルダンが含まれます。
Gh0st RATからGodRATへ
GodRATは、2008年にソースコードが流出し、それ以来中国の脅威グループに広く利用されているトロイの木馬であるGh0st RATの現代版と考えられています。また、2023年に公開され、活発なグループWinnti(APT41)に起因するとされるGh0st RATの別の派生型であるAwesomePuppetとの類似性も確認されています。
このマルウェアはプラグインベースの構造で設計されており、機密情報を収集し、AsyncRAT などの追加のペイロードを展開することができます。
感染経路と技術的な詳細
攻撃は、自己解凍型実行ファイルとして機能する.SCRファイルから始まります。これらのファイルには、正規の実行ファイルを介してサイドロードされた悪意のあるDLLを含む複数のコンポーネントが埋め込まれています。このDLLは、.JPG画像に隠されたシェルコードを取得し、最終的にGodRATの展開を可能にします。
トロイの木馬は起動すると、TCP経由でC2サーバーに接続し、システムデータとインストールされているウイルス対策ツールの詳細情報を収集します。これらの情報を送信した後、C2サーバーはコマンドを発行します。これらの命令により、マルウェアは以下のことが可能になります。
- 受信したプラグイン DLL をメモリに挿入します。
- ソケットを閉じた後、プロセスを終了します。
- CreateProcessA API を使用してファイルをダウンロードして実行します。
- Internet Explorer コマンドを使用して特定の URL を開く
プラグインによる機能拡張
注目すべきプラグインの一つであるFileManager DLLは、攻撃者に被害者のシステムに対する広範な制御権を与えます。ファイルの検索、操作、フォルダの閲覧を可能にするだけでなく、二次的なマルウェアの配信ツールとしても機能します。確認されているペイロードには以下が含まれます。
- ChromeとEdgeブラウザを狙ったパスワード窃盗プログラム
- さらなる悪用を目的としたAsyncRATトロイの木馬
GodRAT ビルダーとペイロードオプション
研究者らはGodRATビルダーとクライアントのソースコード全文を公開し、その適応性を明らかにしました。このビルダーにより、攻撃者は実行ファイルまたはDLLファイルのいずれかを生成できます。実行ファイルルートを選択した場合、ユーザーはsvchost.exe、cmd.exe、cscript.exe、curl.exe、wscript.exe、QQMusic.exe、QQScLauncher.exeといった正規のバイナリをコードインジェクションの対象として選択する可能性があります。
結果のペイロードは、.exe、.com、.bat、.scr、.pif など、さまざまな形式で保存される可能性があります。
レガシーコード、現代の脅威
GodRATの発見は、約20年前に初めて導入されたGh0st RATのようなレガシーインプラントが、今日でも依然として大きなリスクをもたらしていることを浮き彫りにしています。攻撃者は絶え間ない適応と再利用によってこれらのツールの有効性を維持し、サイバーセキュリティ環境における長期的な生存を確保しています。GodRATは、古いマルウェアコードベースであっても、熟練した攻撃者の手に渡れば強力な武器となり得ることを改めて認識させてくれます。
