Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό κακόβουλο λογισμικό kkRAT

κακόβουλο λογισμικό kkRAT

Μέχρι το Mezo το Κακόβουλο λογισμικό, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Οι ερευνητές της Infosec αποκάλυψαν μια ενεργή εκστρατεία κακόβουλου λογισμικού που απευθύνεται σε κινέζους χρήστες, η οποία χρησιμοποιεί ένα προηγουμένως μη καταγεγραμμένο trojan απομακρυσμένης πρόσβασης με την ονομασία kkRAT. Η εκστρατεία φαίνεται να λειτουργεί από τις αρχές Μαΐου 2025 και συνδυάζει γνωστές τεχνικές RAT με modular loaders και παραπλάνηση για να αποφύγει την ανίχνευση και να επιτύχει επιμονή.

ΠΡΟΕΛΕΥΣΗ ΑΠΕΙΛΩΝ ΚΑΙ ΣΥΝΔΕΣΜΟΙ ΚΩΔΙΚΟΓΡΑΜΜΗΣ

Η ανάλυση δείχνει ότι το kkRAT δανείζεται σε μεγάλο βαθμό στοιχεία από καθιερωμένες οικογένειες: το πρωτόκολλο δικτύου του και ορισμένες δομές κώδικα μοιάζουν με εκείνες που χρησιμοποιούνται από το Gh0st RAT (Ghost RAT) και το Big Bad Wolf (大灰狼), ένα RAT που χρησιμοποιείται ιστορικά από ομάδες κυβερνοεγκληματιών με έδρα την Κίνα. Οι συγγραφείς προσέθεσαν επιπλέον κρυπτογράφηση εκτός από τη συμπίεση, παράγοντας ένα κανάλι επικοινωνίας τύπου Ghost με ένα επιπλέον βήμα κρυπτογράφησης.

ΜΕΘΟΔΟΣ ΠΑΡΑΔΟΣΗΣ — ΨΕΥΤΙΚΟΙ ΕΓΚΑΤΑΣΤΑΤΕΣ ΦΙΛΟΞΕΝΟΥΝΤΑΙ ΣΕ ΣΕΛΙΔΕΣ GITHUB

Οι δράστες φιλοξένησαν σελίδες ηλεκτρονικού "ψαρέματος" (phishing) σε σελίδες GitHub που πλαστοπροσωπούσαν δημοφιλείς εφαρμογές (για παράδειγμα, DingTalk) και παρέδωσαν τρία trojan μέσω ψεύτικων εγκαταστατών. Καταχρώμενοι τη φήμη του GitHub, οι πάροχοι αύξησαν την πιθανότητα τα θύματα να εμπιστευτούν και να εκτελέσουν τους εγκαταστάτες. Οι ειδικοί σημειώνουν ότι ο λογαριασμός GitHub που χρησιμοποιείται για τη φιλοξενία των σελίδων δεν είναι πλέον διαθέσιμος.

ΣΥΜΠΕΡΙΦΟΡΑ ΕΓΚΑΤΑΣΤΑΤΗ

Όταν εκτελείται, το ψεύτικο πρόγραμμα εγκατάστασης εκτελεί πολλαπλούς ελέγχους για την ανίχνευση περιβαλλόντων sandbox και εικονικών μηχανών και προσπαθεί να παρακάμψει τους ελέγχους ασφαλείας. Ζητά δικαιώματα διαχειριστή. Εάν του παραχωρηθούν, απαριθμεί και απενεργοποιεί προσωρινά τους ενεργούς προσαρμογείς δικτύου — μια δυνατότητα που χρησιμοποιείται για την παρέμβαση στους ελέγχους δικτύου antivirus και για τη διακοπή της κανονικής λειτουργίας του AV ενώ προχωρά με τις αλλαγές του.

ΤΕΧΝΙΚΕΣ ΑΝΤΙ-AV

Το κακόβουλο λογισμικό χρησιμοποιεί μια τεχνική Bring-Your-Own-Vulnerable-Driver (BYOVD) για να εξουδετερώσει τις προστασίες των τελικών σημείων, επαναχρησιμοποιώντας κώδικα από το έργο ανοιχτού κώδικα RealBlindingEDR. Αναζητά και στοχεύει συγκεκριμένα αυτές τις σουίτες προστασίας καταναλωτών και επιχειρήσεων:

Σουίτα ασφάλειας στο Διαδίκτυο 360 μοιρών

360 Συνολική Ασφάλεια

Σουίτα διαγνωστικών συστημάτων HeroBravo

Kingsoft Internet Security

QQ电脑管家

Μετά τον τερματισμό των σχετικών διαδικασιών προστασίας από ιούς, το πρόγραμμα εγκατάστασης δημιουργεί μια προγραμματισμένη εργασία που εκτελείται με δικαιώματα SYSTEM και εκτελεί ένα δέσμη ενεργειών δέσμης σε κάθε σύνδεση χρήστη — διασφαλίζοντας ότι οι στοχευμένες διεργασίες AV τερματίζονται αυτόματα σε κάθε σύνδεση. Το κακόβουλο λογισμικό τροποποιεί επίσης τις καταχωρήσεις μητρώου των Windows με τρόπους που συνάδουν με την απενεργοποίηση των ελέγχων δικτύου και, στη συνέχεια, ενεργοποιεί ξανά τους προσαρμογείς δικτύου μόλις ολοκληρωθούν οι τροποποιήσεις του.

ΑΛΥΣΙΔΑ ΩΦΕΛΙΜΟΥ ΦΟΡΤΙΟΥ

Ο κύριος ρόλος του προγράμματος εγκατάστασης είναι να εκτελέσει το shellcode, το οποίο ανακτά και εκτελεί ένα ασαφές δευτερεύον αρχείο shellcode με το όνομα '2025.bin' από μια ενσωματωμένη διεύθυνση URL. Αυτό το shellcode λειτουργεί ως πρόγραμμα λήψης και ανακτά ένα τεχνούργημα με το όνομα 'output.log', το οποίο στη συνέχεια επικοινωνεί με δύο διευθύνσεις URL για να κατεβάσει δύο αρχεία ZIP:

  • trx38.zip — περιέχει ένα νόμιμο εκτελέσιμο αρχείο συν ένα κακόβουλο DLL που εκκινείται μέσω παράπλευρης φόρτωσης DLL.
  • p.zip — περιέχει ένα αρχείο με όνομα longlq.cl που περιέχει ένα κρυπτογραφημένο τελικό ωφέλιμο φορτίο.

Το κακόβουλο λογισμικό δημιουργεί μια συντόμευση προς το νόμιμο εκτελέσιμο αρχείο από το trx38.zip, τοποθετεί αυτήν τη συντόμευση στον φάκελο εκκίνησης του χρήστη για διατήρηση και εκτελεί το νόμιμο εκτελέσιμο αρχείο, ώστε να φορτώσει παράπλευρα το κακόβουλο DLL. Το DLL αποκρυπτογραφεί και εκτελεί το τελικό φορτίο που περιέχεται στο longlq.cl. Το τελικό φορτίο της καμπάνιας ποικίλλει ανάλογα με την παρουσία της καμπάνιας. ένα επιβεβαιωμένο φορτίο είναι το kkRAT.

ΔΥΝΑΤΟΤΗΤΕΣ kkRAT (ΕΝΤΟΛΕΣ, ΠΡΟΣΘΕΤΑ ΚΑΙ ΣΥΜΠΕΡΙΦΟΡΑ)

Το kkRAT συνδέεται με έναν διακομιστή C2 μέσω μιας υποδοχής, δημιουργεί προφίλ του μολυσμένου κεντρικού υπολογιστή και κατεβάζει πρόσθετα (plugins) και εντολές που επιτρέπουν εκτεταμένο απομακρυσμένο έλεγχο και συλλογή δεδομένων. Οι παρατηρούμενες δυνατότητές του περιλαμβάνουν:

  • λήψη οθόνης και προσομοίωση εισόδου χρήστη (πληκτρολόγιο και ποντίκι)
  • ανάγνωση και τροποποίηση περιεχομένων προχείρου (χρησιμοποιείται για αντικατάσταση διεύθυνσης κρυπτονομισμάτων)
  • ενεργοποίηση λειτουργικότητας απομακρυσμένης επιφάνειας εργασίας και εκκίνηση/κλείσιμο εφαρμογών από απόσταση, συμπεριλαμβανομένων των προγραμμάτων περιήγησης
  • απομακρυσμένη εκτέλεση εντολών μέσω διαδραστικού κελύφους
  • διαχείριση των Windows στην οθόνη και καταχωρίσεις/τερματισμός διεργασιών
  • απαρίθμηση ενεργών συνδέσεων δικτύου
  • καταχώριση εγκατεστημένων εφαρμογών και απεγκατάσταση επιλεγμένου λογισμικού
  • ανάγνωση τιμών μητρώου αυτόματης εκτέλεσης και απαρίθμηση καταχωρήσεων αυτόματης εκτέλεσης
  • λειτουργώντας ως SOCKS5 proxy για τη δρομολόγηση της κυκλοφορίας και ενδεχομένως την παράκαμψη τείχους προστασίας ή VPN
  • εγκατάσταση και ανάπτυξη εργαλείων απομακρυσμένης διαχείρισης όπως το Sunlogin και το GotoHTTP
  • μηχανισμοί διατήρησης και ένα ευρύ σύνολο εντολών για την κλήση πρόσθετων (plugins) και λειτουργικών συναρτήσεων

    • Το kkRAT περιέχει επίσης λειτουργίες clipper που αντικαθιστούν τις αντιγραμμένες διευθύνσεις πορτοφολιών κρυπτονομισμάτων και ρουτίνες για την εκκαθάριση δεδομένων από μια σειρά προγραμμάτων περιήγησης και εφαρμογών ανταλλαγής μηνυμάτων (παραδείγματα που παρατηρήθηκαν: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer και Telegram).

    ΠΕΡΙΛΗΨΗ — ΓΙΑΤΙ Η ΕΚΣΤΡΑΤΕΙΑ ΕΠΙΘΕΣΗΣ ΕΙΝΑΙ ΣΗΜΑΝΤΙΚΗ

    Αυτή η καμπάνια είναι αξιοσημείωτη για τον συνδυασμό: διανομής κοινωνικής μηχανικής μέσω σελίδων GitHub που μοιάζουν με νόμιμες, προηγμένων τεχνικών κατά της ανάλυσης και κατά του AV (ανίχνευση sandbox/VM, BYOVD χρησιμοποιώντας κώδικα RealBlindingEDR), ενός πολυσταδιακού φορτωτή που χρησιμοποιεί πλευρική φόρτωση DLL και κρυπτογραφημένα κοντέινερ ωφέλιμου φορτίου, και ενός πλήρως εξοπλισμένου RAT (kkRAT) που υποστηρίζει τόσο την κλοπή πληροφοριών (πειρατεία πρόχειρου, καταγραφή οθόνης, εξαγωγή δεδομένων) όσο και λειτουργικά εργαλεία (εργαλεία απομακρυσμένης διαχείρισης, proxying). Η αρθρωτή αρχιτεκτονική σημαίνει ότι το τελικό ωφέλιμο φορτίο μπορεί να αντικατασταθεί, αυξάνοντας την ευελιξία για τους χειριστές και περιπλέκοντας την ανίχνευση και την απόδοση.

    Τάσεις

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    35,315
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...