Mã độc GodRAT, một biến thể mới của Remote Access Trojan (RAT) phát triển từ mã nguồn Gh0st RAT, đang được các tác nhân đe dọa triển khai nhằm vào các tổ chức tài chính, đặc biệt là các công ty giao dịch và môi giới. Đây là một mối đe dọa mạng đáng chú ý đòi hỏi sự cảnh giác cao.
Tổng Quan Về Mã Độc GodRAT Và Nguồn Gốc
GodRAT là một Remote Access Trojan (RAT) mới, được nhận diện là bản tiến hóa từ backdoor AwesomePuppet được báo cáo vào năm 2023. Mã độc này chia sẻ nhiều điểm tương đồng về mã nguồn và phương thức phân phối với AwesomePuppet.
Các phân tích kỹ thuật cho thấy GodRAT có liên kết chặt chẽ với nhóm APT Winnti. Sự liên kết này cảnh báo về khả năng tấn công có chủ đích và tinh vi, thường nhắm vào các mục tiêu giá trị cao.
Kỹ Thuật Lây Nhiễm Ban Đầu
Phân Phối Qua Skype và Tệp Thực Thi Giả Mạo
Mã độc được phân phối chủ yếu qua Skype, sử dụng các tệp thực thi độc hại có phần mở rộng .scr (screensaver) và .pif (Program Information File). Những tệp này được ngụy trang thành các tài liệu tài chính hợp pháp, như danh sách khách hàng hoặc dữ liệu giao dịch.
Chiến thuật này lợi dụng sự tin tưởng của người dùng vào các loại tệp tin tưởng chừng vô hại, tạo điều kiện thuận lợi cho việc truy cập ban đầu vào hệ thống mục tiêu.
Cơ Chế Khai Thác Và Ẩn Trốn
Che Giấu Shellcode Bằng Kỹ Thuật Steganography
Các tác nhân tấn công sử dụng kỹ thuật steganography để che giấu shellcode bên trong các tệp hình ảnh. Shellcode này sau đó sẽ tải RAT từ máy chủ Command-and-Control (C2).
Việc triển khai mã độc GodRAT bắt đầu bằng các bộ nạp shellcode, tiêm mã độc hại vào các tiến trình hợp pháp.
Các Biến Thể Bộ Nạp và Kỹ Thuật Tiêm Mã
Một biến thể bộ nạp giải mã XOR shellcode được nhúng sử dụng một khóa cứng cố định, ví dụ như: “OSEDBIU#IUSBDGKJS@SIHUDVNSO*SKJBKSDS#SFDBNXFCB”.
Mã đã giải mã sau đó được thực thi trong một vùng bộ nhớ mới. Một tệp thực thi tự giải nén khác nhúng các tệp, bao gồm một bộ nạp SDL2.dll đã được ký (MD5: 512778f0de31fcce281d87f00affa4a8).
Bộ nạp này trích xuất shellcode từ các hình ảnh JPG chứa thông tin chi tiết tài chính và tiêm nó thông qua Valve.exe, một tệp nhị phân hợp pháp được ký bằng chứng chỉ DigiCert đã hết hạn.
Giao Tiếp C2 Và Tải Payload Giai Đoạn Hai
Theo báo cáo của Kaspersky, shellcode tìm kiếm chuỗi “godinfo” và giải mã cấu hình C2 bằng khóa XOR 0x63. Sau đó, nó tải payload giai đoạn hai chứa một DLL GodRAT được đóng gói UPX (tên nội bộ: ONLINE.dll).
DLL này xuất một hàm “run” kiểm tra các đối số dòng lệnh, thường tiêm vào các tiến trình như curl.exe hoặc cmd.exe bằng tham số “-Puppet”, gợi nhắc về nguồn gốc AwesomePuppet của nó.
Để tìm hiểu thêm về kỹ thuật của GodRAT, bạn có thể tham khảo báo cáo chi tiết từ Kaspersky tại: Kaspersky Securelist.
Khả Năng Thu Thập Thông Tin Và Triển Khai Plugin
GodRAT thu thập thông tin hệ thống, bao gồm chi tiết hệ điều hành, tên máy chủ, PID, tài khoản người dùng và sự hiện diện của phần mềm diệt virus. Dữ liệu này được nén bằng zlib và mã hóa XOR ba lớp trước khi truyền đến máy chủ C2.
Các lệnh được hỗ trợ bao gồm tiêm plugin (ví dụ: FileManager để liệt kê ổ đĩa, thực hiện các thao tác tệp và thực thi 7-Zip), tạo tiến trình trên các desktop mặc định và mở URL thông qua Internet Explorer.
Plugin FileManager đặc biệt quan trọng trong việc thu thập thông tin hệ thống nạn nhân và triển khai các payload thứ cấp. Điều này giúp kẻ tấn công duy trì và mở rộng quyền kiểm soát.
Payload Thứ Cấp Và Gia Tăng Mối Đe Dọa
Các implant thứ cấp khuếch đại mối đe dọa từ mã độc GodRAT. Các công cụ đánh cắp mật khẩu trình duyệt Chrome và MS Edge (MD5: 31385291c01bb25d635d098f91708905 và cdd5c08b43238c47087a5d914d61c943) trích xuất thông tin đăng nhập từ cơ sở dữ liệu SQLite và các tệp Local State, lưu chúng dưới dạng văn bản thuần.
Các công cụ tiêm AsyncRAT (ví dụ: MD5: 605f25606bb925d61ccc47f0150db674) giải mã và tiêm các tệp nhị phân C# sau khi vá các hàm AMSI và ETW để né tránh phát hiện.
Đánh Giá Kỹ Thuật và Liên Quan APT
Phân Tích Mã Nguồn và Điểm Khác Biệt
Phân tích mã nguồn khẳng định GodRAT trực tiếp có nguồn gốc từ Gh0st RAT. Các bộ công cụ xây dựng cho phép tùy chỉnh mã độc GodRAT thành các tệp thực thi như svchost.exe hoặc các loại tệp như .scr/.pif.
Những điểm khác biệt so với AwesomePuppet bao gồm xử lý gói C2 nâng cao với trường “direction”. Điều này nhấn mạnh những cải tiến lặp đi lặp lại trong các mã độc cũ.
Chiến Dịch Tấn Công Mạng Hiện Tại và Mục Tiêu
Chiến dịch tấn công mạng này vẫn đang hoạt động tính đến ngày 12 tháng 8 năm 2025. Các phát hiện ghi nhận sự xuất hiện của mã độc GodRAT tại Hồng Kông, Các Tiểu Vương quốc Ả Rập Thống nhất, Lebanon, Malaysia và Jordan.
Điều này cho thấy một trọng tâm nhắm mục tiêu vào các tổ chức tài chính ở Trung Đông và Châu Á.
Các Chỉ Số Thỏa Hiệp (IOCs)
Để hỗ trợ phát hiện và ứng phó, dưới đây là các chỉ số thỏa hiệp (IOCs) đã được xác định liên quan đến mã độc GodRAT và các payload thứ cấp:
- SDL2.dll loader (MD5):
512778f0de31fcce281d87f00affa4a8 - Chrome password stealer (MD5):
31385291c01bb25d635d098f91708905 - MS Edge password stealer (MD5):
cdd5c08b43238c47087a5d914d61c943 - AsyncRAT injector (MD5):
605f25606bb925d61ccc47f0150db674
Các tổ chức cần thường xuyên cập nhật hệ thống an ninh mạng của mình để phát hiện các IOC này.
Khuyến Nghị và Đề Phòng
Sự dai dẳng của các công cụ phái sinh từ Gh0st RAT, dù đã gần hai thập kỷ tuổi, nhấn mạnh sức hấp dẫn lâu dài của các implant có khả năng tùy chỉnh cho các hoạt động APT.
Các tổ chức cần tăng cường giám sát các email hoặc tin nhắn Skype đáng ngờ. Đặc biệt chú ý đến các tệp đính kèm không bình thường, các lần tiêm tiến trình bất thường và các kênh giao tiếp C2.
Việc triển khai các giải pháp an ninh mạng toàn diện và cập nhật thường xuyên là cần thiết để bảo vệ chống lại các mối đe dọa như mã độc GodRAT.
