عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج kkRAT الخبيث

برنامج kkRAT الخبيث

بواسطة Mezo في البرمجيات الخبيثة, أدوات الإدارة عن بعد
ترجمة الى:

كشف باحثو أمن المعلومات عن حملة برمجيات خبيثة نشطة تستهدف المستخدمين الناطقين بالصينية، وتستخدم حصان طروادة للوصول عن بُعد غير موثق سابقًا يُدعى kkRAT. ويبدو أن الحملة مستمرة منذ أوائل مايو 2025، وتجمع بين تقنيات الوصول عن بُعد المألوفة ومُحمّلات معيارية وأساليب خداع لتجنب الكشف وتحقيق استمرارية.

مصادر التهديد وروابط الكود

يُظهر التحليل أن kkRAT يستعير بشكل كبير من عائلات برمجية راسخة: فبروتوكول شبكته وبعض هياكله البرمجية يشبهان تلك المستخدمة في Gh0st RAT (Ghost RAT) وBig Bad Wolf (大灰狼)، وهو برنامج برمجي عن بُعد استخدمته مجموعات إجرامية إلكترونية صينية تاريخيًا. أضاف المؤلفون تشفيرًا إضافيًا إلى الضغط، مما أدى إلى إنشاء قناة اتصال شبيهة بـ Ghost مع خطوة تشفير إضافية.

طريقة التسليم - برامج التثبيت المزيفة المستضافة على صفحات GITHUB

استضاف مُخرِجون صفحات تصيّد احتيالي على صفحات GitHub، انتحلوا فيها هوية تطبيقات شائعة (مثل DingTalk)، ونشروا ثلاثة أحصنة طروادة عبر مُثبِّتات وهمية. باستغلالهم سمعة GitHub، زاد المُخرِجون من احتمالية ثقة الضحايا بهذه المُثبِّتات وتشغيلها. يُشير الخبراء إلى أن حساب GitHub المُستخدَم لاستضافة هذه الصفحات لم يعد متاحًا.

سلوك المثبت

عند تشغيله، يُجري المُثبِّت الوهمي فحوصات متعددة للكشف عن بيئات الحماية والأجهزة الافتراضية، ويحاول تجاوز ضوابط الأمان. يطلب صلاحيات المسؤول؛ وفي حال منحها، يُحصي مُحوِّلات الشبكة النشطة ويُعطِّلها مؤقتًا - وهي إمكانية تُستخدم للتدخل في فحوصات شبكة مكافحة الفيروسات وتعطيل التشغيل العادي لبرنامج مكافحة الفيروسات أثناء إجراء تغييراته.

تقنيات مكافحة المركبات

يستخدم البرنامج الخبيث تقنية "إحضار برنامج التشغيل الخاص بك المعرض للخطر" (BYOVD) لتحييد حماية نقاط النهاية، وإعادة استخدام شيفرة من مشروع RealBlindingEDR مفتوح المصدر. يبحث البرنامج تحديدًا عن مجموعات الحماية التالية للمستهلكين والشركات ويستهدفها:

مجموعة 360 Internet Security

360 الأمن الشامل

مجموعة تشخيص نظام HeroBravo

كينجسوفت لأمن الإنترنت

جهاز كمبيوتر QQ

بعد إنهاء عمليات مكافحة الفيروسات ذات الصلة، يُنشئ المُثبِّت مهمة مُجدولة تعمل بامتيازات النظام، وتُنفِّذ نصًا برمجيًا دفعيًا عند كل تسجيل دخول للمستخدم، مما يضمن إيقاف عمليات مكافحة الفيروسات المُستهدفة تلقائيًا عند كل تسجيل دخول. كما يُعدِّل البرنامج الخبيث إدخالات سجل ويندوز بطرق تُتيح تعطيل فحص الشبكة، ثم يُعيد تفعيل مُحوِّلات الشبكة بعد اكتمال تعديلاتها.

سلسلة الحمولة

الدور الرئيسي للمُثبِّت هو تشغيل شفرة الشل، التي تسترجع وتُنفِّذ ملف شفرة شل ثانويًا مُعتمًا باسم "2025.bin" من عنوان URL مُرمَّز. تعمل شفرة الشل هذه كمُنزِّل، وتسترجع ملفًا باسم "output.log"، والذي يتصل بعد ذلك بعناوين URL لتنزيل أرشيفَي ZIP.

  • trx38.zip — يحتوي على ملف قابل للتنفيذ شرعي بالإضافة إلى ملف DLL ضار يتم تشغيله عبر التحميل الجانبي لـ DLL.
  • p.zip — يحتوي على ملف يسمى longlq.cl يحمل حمولة نهائية مشفرة.

يُنشئ البرنامج الخبيث اختصارًا إلى الملف التنفيذي الشرعي من ملف trx38.zip، ويضعه في مجلد بدء التشغيل الخاص بالمستخدم للاستمرار، ثم يُشغّل الملف التنفيذي الشرعي ليُحمّل ملف DLL الخبيث جانبًا. يفكّ ملف DLL تشفير الحمولة النهائية الموجودة في longlq.cl ويُنفّذها. تختلف الحمولة النهائية للحملة باختلاف مثيل الحملة؛ إحدى الحمولة المؤكدة هي kkRAT.

إمكانيات kkRAT (الأوامر والمكونات الإضافية والسلوك)

يتصل kkRAT بخادم C2 عبر مقبس، ويُنشئ ملف تعريف للمضيف المُصاب، ويُنزّل إضافات وأوامر تُمكّن من التحكم عن بُعد وجمع البيانات على نطاق واسع. تشمل قدراته المُلاحظة ما يلي:

  • التقاط الشاشة ومحاكاة إدخال المستخدم (لوحة المفاتيح والماوس)
  • قراءة وتعديل محتويات الحافظة (تستخدم لاستبدال عنوان العملة المشفرة)
  • تمكين وظيفة سطح المكتب البعيد وتشغيل التطبيقات/إغلاقها عن بُعد، بما في ذلك المتصفحات
  • تنفيذ الأوامر عن بعد عبر غلاف تفاعلي
  • إدارة Windows على الشاشة وقوائم العمليات/إنهائها
  • تعداد اتصالات الشبكة النشطة
  • إدراج التطبيقات المثبتة وإلغاء تثبيت البرامج المحددة
  • قراءة قيم التسجيل الخاصة بالتشغيل التلقائي وتعداد إدخالات التشغيل التلقائي
  • العمل كوكيل SOCKS5 لتوجيه حركة المرور وتجاوز جدران الحماية أو شبكات VPN
  • تثبيت ونشر أدوات الإدارة عن بعد مثل Sunlogin وGotoHTTP
  • آليات الاستمرار ومجموعة واسعة من الأوامر لاستدعاء المكونات الإضافية والوظائف التشغيلية

    • يحتوي kkRAT أيضًا على وظيفة Clipper التي تحل محل عناوين محفظة العملات المشفرة المنسوخة، وإجراءات لمسح البيانات من مجموعة من المتصفحات وتطبيقات المراسلة (الأمثلة التي تمت ملاحظتها: 360 Speed Browser، وGoogle Chrome، وInternet Explorer، وMozilla Firefox، وQQ Browser، وSogou Explorer، وTelegram).

    ملخص - لماذا تُعد حملة الهجوم مهمة؟

    تتميز هذه الحملة بدمجها ما يلي: توزيع الهندسة الاجتماعية من خلال صفحات GitHub ذات مظهر شرعي؛ وتقنيات متقدمة لمكافحة التحليل ومكافحة الفيروسات (كشف بيئة الحماية/الآلة الافتراضية، وBYOVD باستخدام شيفرة RealBlindingEDR)؛ ومُحمّل متعدد المراحل يستخدم التحميل الجانبي لمكتبة DLL وحاويات حمولة مشفرة؛ وبرنامج RAT كامل الميزات (kkRAT) يدعم كلاً من سرقة المعلومات (اختطاف الحافظة، التقاط الشاشة، استخراج البيانات) والأدوات التشغيلية (أدوات الإدارة عن بُعد، التوكيل). تتيح البنية المعيارية إمكانية تبديل الحمولة النهائية، مما يزيد من مرونة المشغلين ويُعقّد عملية الكشف والإسناد.

    الشائع

    الأكثر مشاهدة

    البرمجيات الخبيثة

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    35,315
    رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
    جار التحميل...