2025年8月19日Ravie Lakshmananマルウェア / サイバー攻撃
トレーディング会社や証券会社などの金融機関が、これまで報告されていなかったリモートアクセス型トロイの木馬GodRATを配布する新たなキャンペーンの標的となっています。
この悪意ある活動は、「Skypeメッセンジャーを通じて金融文書に偽装した悪意のある.SCR(スクリーンセーバー)ファイルを配布する」ものだと、Kasperskyの研究者Saurabh Sharmaが本日公開した技術分析で述べています。
2025年8月12日にも活動が確認されたこの攻撃では、ステガノグラフィと呼ばれる手法を用い、マルウェアをダウンロードするためのシェルコードを画像ファイル内に隠蔽しています。スクリーンセーバーのアーティファクトは2024年9月9日以降、香港、アラブ首長国連邦、レバノン、マレーシア、ヨルダンなどの国や地域を標的に検出されています。
GodRATはGh0st RATをベースにしているとみられ、プラグインベースのアプローチを採用して機能を拡張し、機密情報の収集やAsyncRATなどの二次ペイロードの配信を行います。なお、Gh0st RATは2008年にソースコードが公開流出しており、それ以降さまざまな中国のハッカーグループによって利用されています。
ロシアのサイバーセキュリティ企業は、このマルウェアが2023年に初めて記録されたGh0st RATベースのバックドア「AwesomePuppet」の進化形であり、著名な中国の脅威アクターWinnti(別名APT41)の仕業である可能性が高いと述べています。
スクリーンセーバーファイルは自己解凍型実行ファイルとして機能し、正規の実行ファイルによってサイドロードされる悪意のあるDLLなど、さまざまな埋め込みファイルを含んでいます。このDLLは、.JPG画像ファイル内に隠されたシェルコードを抽出し、それがGodRATの展開への道を開きます。
トロイの木馬は、C2サーバーとTCP通信を確立し、システム情報を収集し、ホストにインストールされているアンチウイルスソフトウェアのリストを取得します。収集した情報はC2サーバーに送信され、その後サーバーから追加の指示が返され、以下のことが可能となります。
- 受信したプラグインDLLをメモリにインジェクトする
- ソケットを閉じてRATプロセスを終了する
- 指定されたURLからファイルをダウンロードし、CreateProcessA APIを使って実行する
- Internet Explorerを開くシェルコマンドで指定されたURLを開く
マルウェアによってダウンロードされるプラグインの1つに、ファイルシステムの列挙、ファイル操作、フォルダのオープン、指定した場所でのファイル検索まで可能なFileManager DLLがあります。このプラグインは、Google ChromeやMicrosoft Edgeのパスワード窃取ツールやAsyncRATトロイの木馬など、追加ペイロードの配信にも利用されています。
Kasperskyは、GodRATクライアントおよびビルダーの完全なソースコードが2024年7月下旬にVirusTotalのオンラインマルウェアスキャナーにアップロードされているのを発見したと述べています。ビルダーは実行ファイルまたはDLLのいずれかを生成することができます。
実行ファイルオプションを選択した場合、ユーザーはリストから正規のバイナリ(svchost.exe、cmd.exe、cscript.exe、curl.exe、wscript.exe、QQMusic.exe、QQScLauncher.exe)を選択し、その中に悪意のあるコードを注入することができます。最終的なペイロードは、.exe、.com、.bat、.scr、.pifのいずれかのファイル形式で保存可能です。
「Gh0st RATのような、ほぼ20年前の古いインプラントコードベースは、今日でも使われ続けています」とKasperskyは述べています。「これらはしばしばカスタマイズや再構築が行われ、幅広い被害者を標的にしています。」
「これらの古いインプラントは長期間にわたりさまざまな脅威アクターによって利用されてきたことが知られており、GodRATの発見はGh0st RATのようなレガシーコードベースがサイバーセキュリティの分野で今なお長い寿命を維持できることを示しています。」
翻訳元: https://thehackernews.com/2025/08/new-godrat-trojan-targets-trading-firms.html