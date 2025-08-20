Интеграция
Цифровая трансформация в нестабильное время — пять полезных лайфхаков
Российский бизнес активно движется по пути цифровой трансформации
Обзор МФУ Sharp MX-2651EU: обновленная линейка

Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новый троянец удаленного доступа, который получил название GodRAT. Он распространяется через вредоносные файлы с расширением .scr, замаскированные под финансовые документы. До марта 2025 г. злоумышленники отправляли их через Skypе, после чего переключились на другие каналы. Атакам подверглись предприятия малого и среднего бизнеса — главным образом трейдинговые и брокерские компании — в ОАЭ, Гонконге, Иордании и Ливане. Об этом CNews сообщили представители «Лаборатории Касперского».

Что известно о GodRAT. Исходный код GodRAT обнаружен в популярном мультисканерном сервисе, куда был загружен еще в июле 2024 г. После заражения устройства троянец собирает сведения об операционной системе, локальном имени хоста, названии вредоносного процесса и его идентификаторе, учетной записи пользователя и установленном защитном ПО.

Как действуют злоумышленники. Исследователи отмечают, что GodRAT поддерживает дополнительные плагины. В ходе изученной атаки злоумышленники использовали FileManager для анализа заражённых систем и программы-стилеры для кражи учетных данных в Chrome и Microsoft Edge. Вдобавок к GodRAT они задействовали зловред AsyncRAT в качестве второго импланта, чтобы дольше оставаться в системе.

Атакующие стремятся скрыть свою активность. Помимо обнаруженного троянца, архив GodRAT V3.5_______dll.rar включает в себя билдер — инструмент для быстрой сборки GodRAT. Он позволяет выбрать, в какой легитимный файл внедрить вредоносную нагрузку. Кроме того, злоумышленники использовали стеганографию, чтобы спрятать шелл-код в файле изображения с якобы финансовыми данными.

«GodRAT — это эволюционировавший AwesomePuppet, который мы нашли в 2023 г. и который, вероятно, связан с кибергруппой Winnti. На связь зловредов указывают методы дистрибуции, определённые параметры командной строки, сходство кода с широко известным Gh0st RAT, который существует уже несколько десятилетий, и общие артефакты. Злоумышленники часто кастомизируют и переделывают старые импланты, чтобы охватить как можно больше жертв. Обнаруженный троянец подтверждает, что даже инструменты с многолетней историей могут быть частью современного ландшафта киберугроз», — сказал Леонид Безвершенко, старший эксперт Kaspersky GReAT.

Для защиты от подобных киберугроз «Лаборатория Касперского» рекомендует организациям: регулярно проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их распознавать фишинг, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform; использовать комплексное решение для защиты корпоративных устройств, которое позволяет обнаружить и остановить кибератаки на ранних стадиях, например из линейки Kaspersky Symphony.

