Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Зловреден софтуер kkRAT

Зловреден софтуер kkRAT

До Mezo през Зловреден софтуер, Инструменти за отдалечено администриранег
Превод на:

Изследователи от Infosec разкриха активна кампания за зловреден софтуер, насочена към китайскоговорящи потребители, която използва недокументиран досега троянски кон за отдалечен достъп, наречен kkRAT. Кампанията изглежда се провежда от началото на май 2025 г. и комбинира познати RAT техники с модулни зареждащи програми и измама, за да избегне откриването и да постигне устойчивост.

ПРОИЗХОД НА ЗАПЛАХИТЕ И ВРЪЗКИ С КОДА

Анализът показва, че kkRAT заимства много от установени семейства: неговият мрежов протокол и някои кодови структури наподобяват тези, използвани от Gh0st RAT (Ghost RAT) и Big Bad Wolf (大灰狼), RAT, исторически използван от киберпрестъпни групи, базирани в Китай. Авторите са добавили допълнително криптиране върху компресията, създавайки комуникационен канал, подобен на Ghost, с допълнителна стъпка на криптиране.

МЕТОД НА ДОСТАВКА — ФАЛШИВИ ИНСТАЛАТОРИ, ХОСТВАНИ НА GITHUB СТРАНИЦИ

Актьорите са хоствали фишинг страници в GitHub Pages, които са се представяли за популярни приложения (например DingTalk) и са доставяли три троянски коня чрез фалшиви инсталатори. Злоупотребявайки с репутацията на GitHub, операторите са увеличили вероятността жертвите да се доверят и да стартират инсталаторите. Експертите отбелязват, че акаунтът в GitHub, използван за хостване на страниците, вече не е наличен.

ПОВЕДЕНИЕ НА ИНСТАЛАТОРА

Когато се изпълни, фалшивият инсталатор извършва множество проверки за откриване на sandbox среди и виртуални машини и се опитва да заобиколи контролите за сигурност. Той изисква администраторски права; ако бъдат предоставени, изброява и временно деактивира активните мрежови адаптери – възможност, използвана за намеса в антивирусните мрежови проверки и за нарушаване на нормалната работа на антивирусната програма, докато тя продължава с промените.

АНТИАВТОМОБИЛНИ ТЕХНИКИ

Зловредният софтуер използва техника „Bring-Your-Own-Vulnerable-Driver“ (BYOVD), за да неутрализира защитите на крайните точки, използвайки повторно код от проекта с отворен код RealBlindingEDR. Той специално търси и се насочва към следните пакети за защита на потребителите и предприятията:

360 пакет за интернет сигурност

360 Пълна сигурност

Комплект за системна диагностика HeroBravo

Kingsoft Интернет сигурност

QQ电脑管家

След прекратяване на съответните антивирусни процеси, инсталаторът създава планирана задача, изпълнявана с привилегии на SYSTEM, която изпълнява пакетен скрипт при всяко влизане на потребител, като по този начин се гарантира, че целевите антивирусни процеси се прекратяват автоматично при всяко влизане. Злонамереният софтуер също така променя записите в системния регистър на Windows по начин, съвместим с деактивирането на мрежовите проверки, след което отново активира мрежовите адаптери, след като модификациите му са завършени.

ВЕРИГА ЗА ПОЛЕЗЕН ТОВАР

Основната роля на инсталатора е да изпълнява шелкод, който извлича и изпълнява обфускиран вторичен шелкод файл с име „2025.bin“ от твърдо кодиран URL адрес. Този шелкод действа като програма за изтегляне и извлича артефакт с име „output.log“, който след това се свързва с два URL адреса, за да изтегли два ZIP архива:

  • trx38.zip — съдържа легитимен изпълним файл плюс злонамерен DLL файл, който се стартира чрез странично зареждане на DLL файлове.
  • p.zip — съдържа файл, наречен longliq.cl, който съдържа криптиран краен полезен товар.

Зловредният софтуер създава пряк път към легитимния изпълним файл от trx38.zip, поставя този пряк път в папката „Стартиране“ на потребителя за постоянство и изпълнява легитимния изпълним файл, така че да зареди злонамерената DLL. DLL декриптира и изпълнява крайния полезен файл, съдържащ се в longliq.cl. Крайният полезен файл на кампанията варира в зависимост от екземпляра на кампанията; един потвърден полезен файл е kkRAT.

ВЪЗМОЖНОСТИ НА kkRAT (КОМАНДИ, ПЛЮГИНИ И ПОВЕДЕНИЕ)

kkRAT се свързва с C2 сървър през сокет, профилира заразения хост и изтегля плъгини и команди, които позволяват обширно дистанционно управление и събиране на данни. Наблюдаваните му възможности включват:

  • заснемане на екрана и симулация на потребителски вход (клавиатура и мишка)
  • четене и промяна на съдържанието на клипборда (използва се за подмяна на адреси на криптовалута)
  • активиране на функционалността за отдалечен работен плот и стартиране/отдалечено затваряне на приложения, включително браузъри
  • дистанционно изпълнение на команди чрез интерактивна обвивка
  • екранно управление на Windows и списъци/прекратяване на процеси
  • изброяване на активни мрежови връзки
  • изброяване на инсталираните приложения и деинсталиране на избран софтуер
  • четене на стойностите в системния регистър на автоматичното изпълнение и изброяване на записите в системния регистър на автоматичното изпълнение
  • действа като SOCKS5 прокси за маршрутизиране на трафика и потенциално заобикаляне на защитни стени или VPN мрежи
  • инсталиране и внедряване на инструменти за дистанционно управление, като Sunlogin и GotoHTTP
  • механизми за постоянство и широк набор от команди за извикване на плъгини и оперативни функции

kkRAT съдържа и функционалност за подрязване, която замества копираните адреси на портфейли с криптовалута, както и процедури за изчистване на данни от редица браузъри и приложения за съобщения (наблюдавани примери: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer и Telegram).

РЕЗЮМЕ — ЗАЩО АТАКУВАЩАТА КАМПАНИЯ Е ВАЖНА

Тази кампания е забележителна с комбинирането на: разпространение чрез социално инженерство чрез легитимно изглеждащи GitHub страници; усъвършенствани техники за анти-анализ и анти-AV (откриване в пясъчник/виртуална машина, BYOVD с помощта на код RealBlindingEDR); многоетапен зареждащ механизъм, който използва странично зареждане на DLL и криптирани контейнери за полезен товар; и пълнофункционален RAT (kkRAT), който поддържа както кражба на информация (отвличане на клипборда, заснемане на екрана, извличане на данни), така и оперативни инструменти (инструменти за дистанционно управление, проксиране). Модулната архитектура означава, че крайният полезен товар може да бъде сменен, което увеличава гъвкавостта за операторите и усложнява откриването и атрибуцията.

Тенденция

Най-гледан

Зареждане...