KkRAT pahavara

Infoturbe uurijad on paljastanud aktiivse pahavara kampaania, mis on suunatud hiina keelt kõnelevatele kasutajatele ja mis kasutab varem dokumenteerimata kaugjuurdepääsuga troojat nimega kkRAT. Kampaania näib olevat töötanud alates 2025. aasta mai algusest ning ühendab tuttavaid RAT-tehnikaid modulaarsete laadurite ja pettusega, et avastamist vältida ja püsivust saavutada.

OHU PÄRITOLU JA KOODILINGID

Analüüs näitab, et kkRAT laenab suuresti väljakujunenud transkriptsioonitranskriptaasidelt: selle võrguprotokoll ja mõned koodistruktuurid sarnanevad Gh0st RAT-i (Ghost RAT) ja Big Bad Wolfi (大灰狼) omadega – RAT-i, mida on ajalooliselt kasutanud Hiinas asuvad küberkurjategijate rühmitused. Autorid lisasid tihendamisele täiendava krüptimise, luues Ghost-laadse sidekanali täiendava krüptimisetapiga.

KOHALETOIMEETOD — GITHUBI LEHEKÜLJEL MAJUTATUD VÕLTSIPAIGALDAJAD

GitHubi lehtedel majutasid tegutsejad andmepüügilehti, mis jäljendasid populaarseid rakendusi (näiteks DingTalk) ja edastasid võltsitud installijate kaudu kolm troojalast. GitHubi mainet kuritarvitades suurendasid operaatorid tõenäosust, et ohvrid usaldavad ja käivitavad installijaid. Eksperdid märgivad, et lehtede majutamiseks kasutatud GitHubi konto pole enam saadaval.

PAIGALDAJA KÄITUMINE

Käivitamisel teeb võltsinstaller mitu kontrolli liivakastikeskkondade ja virtuaalsete masinate tuvastamiseks ning üritab turvakontrollidest mööda hiilida. See küsib administraatoriõigusi; kui need on antud, loetleb ja keelab see ajutiselt aktiivsed võrguadapterid – see on funktsioon, mida kasutatakse viirusetõrje võrgukontrollide segamiseks ja viirusetõrje tavapärase töö katkestamiseks muudatuste tegemise ajal.

AV-vastased meetmed

Pahavara kasutab lõpp-punkti kaitse neutraliseerimiseks nn Bring-Your-Own-Vulnerable-Driver (BYOVD) tehnikat, taaskasutades avatud lähtekoodiga projekti RealBlindingEDR koodi. See otsib ja sihib spetsiaalselt järgmisi tarbija- ja ettevõttekaitse pakette:

360 Interneti turvalisuse komplekt

360 täielik turvalisus

HeroBravo süsteemi diagnostika komplekt

Kingsofti interneti turvalisus

QQ电脑管家

Pärast asjakohaste viirusetõrjeprotsesside lõpetamist loob installiprogramm ajastatud ülesande, mis töötab SÜSTEEMI õigustega ja käivitab iga kasutaja sisselogimisel partiiskripti – tagades, et sihtrühma kuuluvad viirusetõrjeprotsessid peatatakse automaatselt iga sisselogimise korral. Pahavara muudab ka Windowsi registrikirjeid viisil, mis on kooskõlas võrgukontrollide keelamisega, ja lubab seejärel võrguadapterid uuesti, kui muudatused on lõpule viidud.

KASULIK KOORMUSKETT

Installeri peamine roll on käivitada shellcode, mis hangib kõvakodeeritud URL-ilt hägustatud sekundaarse shellcode-faili nimega '2025.bin' ja käivitab selle. See shellcode toimib allalaadijana ja hangib artefakti nimega 'output.log', mis seejärel võtab ühendust kahe URL-iga, et alla laadida kaks ZIP-arhiivi:

• trx38.zip – sisaldab legitiimset käivitatavat faili ja pahatahtlikku DLL-i, mis käivitatakse DLL-i külglaadimise teel.
• p.zip — sisaldab faili nimega longlq.cl, mis hoiab krüpteeritud lõplikku kasulikku koormust.

Pahavara loob trx38.zip-ist otsetee legitiimsele käivitatavale failile, paigutab selle otsetee püsivuse tagamiseks kasutaja käivituskausta ja käivitab legitiimse käivitatava faili, laadides pahatahtliku DLL-i külglaadimise teel. DLL dekrüpteerib ja käivitab longlq.cl-is sisalduva lõpliku koormuse. Kampaania lõplik koormus varieerub kampaania eksemplaride lõikes; üks kinnitatud koormus on kkRAT.

kkRATi võimalused (käsud, pluginad ja käitumine)

kkRAT loob ühenduse C2 serveriga sokli kaudu, profileerib nakatunud hosti ning laadib alla pluginad ja käsud, mis võimaldavad ulatuslikku kaugjuhtimist ja andmete kogumist. Selle täheldatud võimete hulka kuuluvad:

• ekraanipildi jäädvustamine ja kasutaja sisendi simuleerimine (klaviatuur ja hiir)
• lõikelaua sisu lugemine ja muutmine (kasutatakse krüptovaluuta aadressi asendamiseks)
• kaugtöölaua funktsionaalsuse lubamine ja rakenduste, sealhulgas brauserite, käivitamine/kaugjuhtimisega sulgemine
• käskude kaugkäivitamine interaktiivse kesta kaudu
• ekraanil kuvatav Windowsi haldus ja protsesside loendid/lõpetamine
• aktiivsete võrguühenduste loetlemine
• installitud rakenduste loetlemine ja valitud tarkvara desinstallimine
• automaatkäivituse registriväärtuste lugemine ja automaatkäivituse kirjete loetlemine
• toimides SOCKS5 puhverserverina liikluse suunamiseks ja potentsiaalselt tulemüüride või VPN-ide möödahiilimiseks

• kaughaldustööriistade (nt Sunlogin ja GotoHTTP) installimine ja juurutamine

• püsivusmehhanismid ja lai valik käske pluginate ja operatsioonifunktsioonide käivitamiseks

kkRAT sisaldab ka kärpimisfunktsiooni, mis asendab kopeeritud krüptovaluuta rahakoti aadresse, ning rutiine andmete kustutamiseks erinevatest brauseritest ja sõnumsiderakendustest (näited: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer ja Telegram).

KOKKUVÕTE – MIKS ON RÜNNAKUKAMPAANIA OLULINE

See kampaania on tähelepanuväärne selle poolest, et see ühendab endas: sotsiaalse manipuleerimise levitamise legitiimse välimusega GitHubi lehtede kaudu; täiustatud analüüsi- ja viirusetõrjevastased tehnikad (liivakasti/VM-i tuvastamine, BYOVD RealBlindingEDR-koodi abil); mitmeastmelise laaduri, mis kasutab DLL-i külglaadimist ja krüpteeritud lasti konteinereid; ja täisfunktsionaalse RAT-i (kkRAT), mis toetab nii teabevargust (lõikelaua kaaperdamine, ekraanipildi jäädvustamine, andmete väljaviimine) kui ka operatiivseid tööriistu (kaughaldustööriistad, puhverserver). Modulaarne arhitektuur tähendab, et lõplikku lasti saab vahetada, mis suurendab operaatorite paindlikkust ning raskendab tuvastamist ja omistamist.