Rabattilbud med flere licenser
Trusseldatabase Malware KkRAT-malware

KkRAT-malware

Med Mezo i Malware, Fjernadministrationsværktøjer
Oversæt til:

Infosec-forskere har afdækket en aktiv malwarekampagne rettet mod kinesisktalende brugere, der bruger en hidtil udokumenteret fjernadgangstrojan kaldet kkRAT. Kampagnen ser ud til at have kørt siden begyndelsen af maj 2025 og kombinerer velkendte RAT-teknikker med modulære loadere og bedrag for at undgå opdagelse og opnå persistens.

TRUSSELSOPRINDELSE OG KODELINJEFORBINDELSER

Analysen viser, at kkRAT i høj grad låner fra etablerede familier: dens netværksprotokol og nogle kodestrukturer ligner dem, der bruges af Gh0st RAT (Ghost RAT) og Big Bad Wolf (大灰狼), en RAT, der historisk set er blevet brugt af cyberkriminelle grupper med base i Kina. Forfatterne lagde yderligere kryptering oven i kompressionen, hvilket producerede en Ghost-lignende kommunikationskanal med et ekstra krypteringstrin.

LEVERINGSMETODE — FALSKE INSTALLATØRPROGRAMMER, DER HOSTES PÅ GITHUB-SIDER

Aktører hostede phishing-sider på GitHub Pages, der efterlignede populære applikationer (f.eks. DingTalk) og leverede tre trojanske heste via falske installationsprogrammer. Ved at misbruge GitHubs omdømme øgede operatørerne sandsynligheden for, at ofrene ville stole på og køre installationsprogrammerne. Eksperter bemærker, at den GitHub-konto, der blev brugt til at hoste siderne, ikke længere er tilgængelig.

INSTALLATØRENS ADFÆRD

Når det udføres, udfører det falske installationsprogram flere kontroller for at registrere sandkassemiljøer og virtuelle maskiner og forsøger at omgå sikkerhedskontroller. Det beder om administratorrettigheder; hvis de gives, opregner og deaktiverer det midlertidigt aktive netværkskort - en funktion, der bruges til at forstyrre antivirusnetværkskontroller og afbryde normal antivirusdrift, mens det fortsætter med sine ændringer.

ANTI-AV-TEKNIKKER

Malwaren bruger en BYOVD-teknik (Bring-Your-Own-Vulnerable-Driver) til at neutralisere endpoint-beskyttelse ved at genbruge kode fra open source-projektet RealBlindingEDR. Den søger specifikt efter og målretter disse forbruger- og virksomhedsbeskyttelsespakker:

360 Internet Security-pakke

360 Total Sikkerhed

HeroBravo System Diagnostics Suite

Kingsoft Internet Security

QQ电脑管家

Efter at relevante antivirusprocesser er afsluttet, opretter installationsprogrammet en planlagt opgave, der kører med SYSTEM-rettigheder, og som udfører et batchscript ved hver brugerlogon – hvilket sikrer, at de målrettede antivirusprocesser automatisk afsluttes ved hver login. Malwaren ændrer også poster i Windows-registreringsdatabasen på måder, der er forenelige med deaktivering af netværkskontroller, og genaktiverer derefter netværkskort, når ændringerne er fuldført.

NYTTELASTKÆDE

Installationsprogrammets primære rolle er at køre shellcode, som henter og udfører en obfuskeret sekundær shellcode-fil med navnet '2025.bin' fra en hardcoded URL. Denne shellcode fungerer som en downloader og henter et artefakt med navnet 'output.log', som derefter kontakter to URL'er for at downloade to ZIP-arkiver:

  • trx38.zip — indeholder en legitim eksekverbar fil plus en ondsindet DLL, der startes via DLL-sideloading.
  • p.zip — indeholder en fil kaldet longlq.cl, der indeholder en krypteret endelig nyttelast.

Malwaren opretter en genvej til den legitime eksekverbare fil fra trx38.zip, placerer genvejen i brugerens startmappe for at bevare den og kører den legitime eksekverbare fil, så den sideloader den skadelige DLL. DLL'en dekrypterer og udfører den endelige nyttelast, der er indeholdt i longlq.cl. Kampagnens endelige nyttelast varierer afhængigt af kampagneinstansen; én bekræftet nyttelast er kkRAT.

kkRAT-FUNKTIONER (KOMMANDOER, PLUGINS OG ADFÆRD)

kkRAT opretter forbindelse til en C2-server via en socket, profilerer den inficerede vært og downloader plugins og kommandoer, der muliggør omfattende fjernstyring og dataindsamling. Dens observerede funktioner omfatter:

  • skærmoptagelse og simulering af brugerinput (tastatur og mus)
  • læsning og ændring af indholdet af udklipsholderen (bruges til udskiftning af kryptovalutaadresse)
  • aktivering af fjernskrivebordsfunktionalitet og fjernstart/lukning af applikationer, herunder browsere
  • fjernkommandoudførelse via en interaktiv shell
  • Windows-administration på skærmen og proceslister/afslutning
  • optælling af aktive netværksforbindelser
  • liste over installerede programmer og afinstallation af valgt software
  • læsning af autorun-registreringsværdier og optælling af autorun-poster
  • fungerer som en SOCKS5-proxy til at dirigere trafik og potentielt omgå firewalls eller VPN'er
  • installation og implementering af fjernstyringsværktøjer såsom Sunlogin og GotoHTTP
  • persistensmekanismer og et bredt sæt af kommandoer til at aktivere plugins og operationelle funktioner

    • kkRAT indeholder også en klipperfunktion, der erstatter kopierede adresser på kryptovaluta-wallets, og rutiner til at rydde data fra en række browsere og beskedapps (observerede eksempler: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer og Telegram).

    OPSUMMERING — HVORFOR ANGREBSKAMPAGNEN ER BETYDELIG

    Denne kampagne er kendt for at kombinere: social engineering-distribution gennem legitimt udseende GitHub-sider; avancerede anti-analyse- og anti-AV-teknikker (sandbox/VM-detektion, BYOVD ved hjælp af RealBlindingEDR-kode); en flertrins-loader, der bruger DLL-sideloading og krypterede payload-containere; og en fuldt udstyret RAT (kkRAT), der understøtter både informationstyveri (klipskartkapring, skærmoptagelse, dataeksfiltrering) og operationelle værktøjer (fjernstyringsværktøjer, proxy). Den modulære arkitektur betyder, at den endelige payload kan udskiftes, hvilket øger fleksibiliteten for operatørerne og komplicerer detektion og attribution.

    Trending

    Mest sete

    Indlæser...