Malware kkRAT
Výzkumníci z Infosec odhalili aktivní malwarovou kampaň zaměřenou na čínsky mluvící uživatele, která používá dříve nezdokumentovaný trojský kůň pro vzdálený přístup s názvem kkRAT. Kampaň zřejmě běží od začátku května 2025 a kombinuje známé techniky RAT s modulárními zavaděči a klamáním, aby se vyhnula detekci a dosáhla trvalosti.
Obsah
PŮVOD HROZEB A ODKAZY NA KÓDOVÉ LINKY
Analýza ukazuje, že kkRAT si značně vypůjčuje od zavedených rodin virů: jeho síťový protokol a některé struktury kódu se podobají těm, které používají Gh0st RAT (Ghost RAT) a Big Bad Wolf (大灰狼), což je RAT historicky používaný čínskými kyberzločineckými skupinami. Autoři přidali k kompresi další šifrování, čímž vytvořili komunikační kanál podobný Ghostovi s dodatečným šifrovacím krokem.
ZPŮSOB DODÁNÍ – FALŠENÉ INSTALÁTORY HOSTOVANÉ NA STRÁNKÁCH GITHUBU
Útočníci hostovali na stránkách GitHubu phishingové stránky, které se vydávaly za populární aplikace (například DingTalk) a prostřednictvím falešných instalačních programů doručovaly tři trojské koně. Zneužitím reputace GitHubu provozovatelé zvýšili pravděpodobnost, že oběti budou instalační programy důvěřovat a spouštět je. Odborníci poznamenávají, že účet GitHub použitý k hostování stránek již není k dispozici.
CHOVÁNÍ INSTALATÉRA
Po spuštění falešný instalační program provede několik kontrol, aby detekoval sandboxová prostředí a virtuální počítače, a pokusí se obejít bezpečnostní kontroly. Vyzve uživatele k zadání administrátorských oprávnění; pokud jsou udělena, vyjmenuje a dočasně deaktivuje aktivní síťové adaptéry – tato funkce slouží k narušení síťových kontrol antiviru a k narušení normálního provozu antiviru během provádění změn.
ANTI-AV TECHNIKY
Malware používá techniku BYOVD (Bring-Your-Own-Vulnerable-Driver) k neutralizaci ochrany koncových bodů a znovu využívá kód z open-source projektu RealBlindingEDR. Konkrétně vyhledává a cílí na tyto sady ochrany pro spotřebitele a podniky:
Sada 360 Internet Security
360 Totální zabezpečení
Sada systémové diagnostiky HeroBravo
Kingsoft Internet Security
QQ 电脑管家
Po ukončení příslušných antivirových procesů instalační program vytvoří naplánovanou úlohu spuštěnou s oprávněními SYSTEM, která při každém přihlášení uživatele spustí dávkový skript – čímž zajistí, že cílené antivirové procesy budou při každém přihlášení automaticky ukončeny. Malware také upravuje položky registru systému Windows způsobem, který je shodný s deaktivací síťových kontrol, a po dokončení úprav znovu povolí síťové adaptéry.
ŘETĚZ UŽITNÉHO ZÁTĚŽE
Primární úlohou instalačního programu je spustit shellcode, který načte a spustí obfuskovaný sekundární soubor shellcode s názvem „2025.bin“ z pevně zadané adresy URL. Tento shellcode funguje jako stahovací program a načte artefakt s názvem „output.log“, který poté kontaktuje dvě adresy URL pro stažení dvou ZIP archivů:
- trx38.zip – obsahuje legitimní spustitelný soubor a škodlivou knihovnu DLL, která se spouští pomocí bočního načítání DLL.
- p.zip – obsahuje soubor s názvem longliq.cl, který obsahuje zašifrovaný finální datový obsah.
Malware vytvoří zástupce legitimního spustitelného souboru ze souboru trx38.zip, umístí tento zástupce do složky Startup uživatele pro trvalé uložení a spustí legitimní spustitelný soubor tak, aby načetl škodlivou knihovnu DLL. Tato knihovna DLL dešifruje a spustí finální datovou část obsaženou v souboru longliq.cl. Finální datová část kampaně se liší podle instance kampaně; jednou potvrzenou datovou částí je kkRAT.
MOŽNOSTI kkRAT (PŘÍKAZY, PLUGINY A CHOVÁNÍ)
kkRAT se připojuje k serveru C2 přes socket, profiluje infikovaný hostitel a stahuje pluginy a příkazy, které umožňují rozsáhlé vzdálené ovládání a sběr dat. Mezi jeho pozorované schopnosti patří:
- snímání obrazovky a simulace uživatelského vstupu (klávesnice a myš)
- čtení a úprava obsahu schránky (používá se pro nahrazování adres kryptoměn)
- povolení funkcí vzdálené plochy a spouštění/vzdálené zavírání aplikací, včetně prohlížečů
- vzdálené spuštění příkazů prostřednictvím interaktivního shellu
- správa Windows a výpisy/ukončení procesů na obrazovce
- výčet aktivních síťových připojení
- zobrazení seznamu nainstalovaných aplikací a odinstalace vybraného softwaru
- čtení hodnot registru automatického spouštění a výčet položek automatického spouštění
- funguje jako SOCKS5 proxy pro směrování provozu a potenciální obcházení firewallů nebo VPN
- instalace a nasazení nástrojů pro vzdálenou správu, jako jsou Sunlogin a GotoHTTP
- mechanismy perzistence a široká sada příkazů pro vyvolání pluginů a operačních funkcí
kkRAT také obsahuje funkci clipperu, která nahrazuje zkopírované adresy kryptoměnových peněženek, a rutiny pro mazání dat z řady prohlížečů a aplikací pro zasílání zpráv (pozorované příklady: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer a Telegram).
SHRNUTÍ – PROČ JE ÚTOČNÁ KAMPAŇ VÝZNAMNÁ
Tato kampaň je pozoruhodná kombinací: distribuce pomocí sociálního inženýrství prostřednictvím legitimně vypadajících stránek GitHubu; pokročilých antianalytických a anti-AV technik (detekce sandboxu/virtuálních strojů, BYOVD s využitím kódu RealBlindingEDR); vícestupňového zavaděče, který používá boční načítání DLL a šifrované kontejnery dat; a plně funkčního RAT (kkRAT), který podporuje jak krádež informací (únos schránky, snímání obrazovky, exfiltrace dat), tak operační nástroje (nástroje pro vzdálenou správu, proxying). Modulární architektura znamená, že konečné datové zatížení lze vyměňovat, což zvyšuje flexibilitu pro operátory a komplikuje detekci a atribuci.
