قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار kkRAT

بدافزار kkRAT

تا Mezo در بدافزار, ابزارهای مدیریت از راه دور
ترجمه به:

محققان Infosec یک کمپین بدافزار فعال را کشف کرده‌اند که کاربران چینی‌زبان را هدف قرار داده و از یک تروجان دسترسی از راه دور که قبلاً مستند نشده و kkRAT نام دارد، استفاده می‌کند. به نظر می‌رسد این کمپین از اوایل ماه مه 2025 در حال اجرا بوده و تکنیک‌های آشنای RAT را با لودرهای ماژولار و فریب ترکیب می‌کند تا از شناسایی شدن جلوگیری کرده و به پایداری دست یابد.

ریشه‌های تهدید و پیوندهای کدلاین

تجزیه و تحلیل نشان می‌دهد که kkRAT به شدت از خانواده‌های شناخته‌شده وام گرفته است: پروتکل شبکه و برخی از ساختارهای کد آن شبیه به ساختارهای مورد استفاده Gh0st RAT (Ghost RAT) و Big Bad Wolf (大灰狼)، یک RAT که به طور تاریخی توسط گروه‌های جرایم سایبری مستقر در چین استفاده می‌شد، است. نویسندگان رمزگذاری اضافی را بر روی فشرده‌سازی لایه‌بندی کردند و یک کانال ارتباطی شبیه به Ghost با یک مرحله رمزگذاری اضافی ایجاد کردند.

روش تحویل - نصب‌کننده‌های جعلی میزبانی‌شده در صفحات گیت‌هاب

عاملان، صفحات فیشینگ را در صفحات گیت‌هاب میزبانی کردند که برنامه‌های محبوب (به عنوان مثال، DingTalk) را جعل کرده و سه تروجان را از طریق نصب‌کننده‌های جعلی تحویل دادند. با سوءاستفاده از اعتبار گیت‌هاب، اپراتورها احتمال اعتماد قربانیان و اجرای نصب‌کننده‌ها را افزایش دادند. کارشناسان خاطرنشان می‌کنند که حساب گیت‌هاب مورد استفاده برای میزبانی صفحات دیگر در دسترس نیست.

رفتار نصب‌کننده

هنگام اجرا، نصب‌کننده‌ی جعلی چندین بررسی برای شناسایی محیط‌های سندباکس و ماشین‌های مجازی انجام می‌دهد و سعی می‌کند از کنترل‌های امنیتی عبور کند. این نصب‌کننده از شما امتیاز مدیر سیستم می‌خواهد؛ در صورت اعطای این امتیاز، آداپتورهای شبکه‌ی فعال را فهرست کرده و موقتاً غیرفعال می‌کند - قابلیتی که برای تداخل با بررسی‌های شبکه‌ی آنتی‌ویروس و مختل کردن عملکرد عادی آنتی‌ویروس در حین انجام تغییرات خود استفاده می‌شود.

تکنیک‌های ضدویروس

این بدافزار از تکنیک Bring-Your-Own-Vulnerable-Driver (BYOVD) برای خنثی کردن محافظت‌های نقاط پایانی استفاده می‌کند و از کد پروژه متن‌باز RealBlindingEDR دوباره استفاده می‌کند. این بدافزار به‌طور خاص این مجموعه‌های محافظتی مصرف‌کننده و سازمانی را جستجو و هدف قرار می‌دهد:

مجموعه امنیتی اینترنت ۳۶۰

۳۶۰ امنیت کامل

مجموعه تشخیص سیستم HeroBravo

امنیت اینترنت کینگ‌سافت

QQ电脑管家

پس از خاتمه دادن به فرآیندهای آنتی‌ویروس مربوطه، نصب‌کننده یک وظیفه زمان‌بندی‌شده با امتیازات SYSTEM ایجاد می‌کند که یک اسکریپت دسته‌ای را در هر ورود کاربر اجرا می‌کند - تضمین می‌کند که فرآیندهای AV هدف به طور خودکار در هر ورود از بین می‌روند. این بدافزار همچنین ورودی‌های رجیستری ویندوز را به روش‌هایی مطابق با غیرفعال کردن بررسی‌های شبکه تغییر می‌دهد، سپس پس از اتمام تغییرات، آداپتورهای شبکه را دوباره فعال می‌کند.

زنجیره بار مفید

نقش اصلی نصب‌کننده، اجرای shellcode است که یک فایل shellcode ثانویه‌ی مبهم‌سازی‌شده به نام '2025.bin' را از یک URL کدگذاری‌شده دریافت و اجرا می‌کند. این shellcode به عنوان یک دانلودکننده عمل می‌کند و یک مصنوع به نام 'output.log' را بازیابی می‌کند که سپس با دو URL برای دانلود دو آرشیو ZIP تماس می‌گیرد:

  • trx38.zip - حاوی یک فایل اجرایی قانونی به همراه یک DLL مخرب است که از طریق بارگذاری جانبی DLL اجرا می‌شود.
  • p.zip - حاوی فایلی به نام longlq.cl است که حاوی یک payload رمزگذاری شده نهایی است.

این بدافزار یک میانبر برای فایل اجرایی قانونی trx38.zip ایجاد می‌کند، آن میانبر را برای ماندگاری در پوشه Startup کاربر قرار می‌دهد و فایل اجرایی قانونی را اجرا می‌کند تا DLL مخرب را بارگذاری جانبی کند. DLL، پیلود نهایی موجود در longlq.cl را رمزگشایی و اجرا می‌کند. پیلود نهایی این کمپین بسته به نمونه کمپین متفاوت است؛ یکی از پیلودهای تأیید شده kkRAT است.

قابلیت‌های kkRAT (دستورات، افزونه‌ها و رفتار)

kkRAT از طریق یک سوکت به یک سرور C2 متصل می‌شود، میزبان آلوده را شناسایی می‌کند و افزونه‌ها و دستوراتی را دانلود می‌کند که امکان کنترل از راه دور گسترده و جمع‌آوری داده‌ها را فراهم می‌کنند. قابلیت‌های مشاهده شده آن عبارتند از:

  • ضبط صفحه نمایش و شبیه‌سازی ورودی کاربر (صفحه کلید و ماوس)
  • خواندن و تغییر محتوای کلیپ‌بورد (مورد استفاده برای جایگزینی آدرس ارزهای دیجیتال)
  • فعال کردن قابلیت ریموت دسکتاپ و اجرا/بستن برنامه‌ها از راه دور، از جمله مرورگرها
  • اجرای دستور از راه دور از طریق یک پوسته تعاملی
  • مدیریت ویندوز روی صفحه و فهرست‌بندی/خاتمه‌دهی فرآیندها
  • شمارش اتصالات فعال شبکه
  • فهرست کردن برنامه‌های نصب‌شده و حذف نرم‌افزارهای انتخاب‌شده
  • خواندن مقادیر رجیستری autorun و شمارش ورودی‌های autorun
  • به عنوان یک پروکسی SOCKS5 برای مسیریابی ترافیک و احتمالاً دور زدن فایروال‌ها یا VPNها عمل می‌کند.
  • نصب و راه‌اندازی ابزارهای مدیریت از راه دور مانند Sunlogin و GotoHTTP
  • مکانیسم‌های پایداری و مجموعه گسترده‌ای از دستورات برای فراخوانی افزونه‌ها و توابع عملیاتی

    • kkRAT همچنین شامل قابلیت کلیپر است که آدرس‌های کیف پول ارزهای دیجیتال کپی‌شده را جایگزین می‌کند و روال‌هایی برای پاک کردن داده‌ها از طیف وسیعی از مرورگرها و برنامه‌های پیام‌رسان دارد (نمونه‌های مشاهده‌شده: مرورگر 360 Speed، گوگل کروم، اینترنت اکسپلورر، موزیلا فایرفاکس، مرورگر QQ، Sogou Explorer و تلگرام).

    خلاصه - چرا کمپین حمله مهم است

    این کمپین به خاطر ترکیب موارد زیر قابل توجه است: توزیع مهندسی اجتماعی از طریق صفحات گیت‌هابِ ظاهراً قانونی؛ تکنیک‌های پیشرفته ضد تحلیل و ضد آنتی‌ویروس (تشخیص sandbox/VM، BYOVD با استفاده از کد RealBlindingEDR)؛ یک لودر چند مرحله‌ای که از بارگذاری جانبی DLL و کانتینرهای بار داده رمزگذاری شده استفاده می‌کند؛ و یک RAT کاملاً برجسته (kkRAT) که هم از سرقت اطلاعات (ربودن کلیپ‌بورد، ضبط صفحه، استخراج داده‌ها) و هم از ابزارهای عملیاتی (ابزارهای مدیریت از راه دور، پروکسی) پشتیبانی می‌کند. معماری ماژولار به این معنی است که بار داده نهایی می‌تواند تعویض شود، که انعطاف‌پذیری را برای اپراتورها افزایش می‌دهد و تشخیص و انتساب را پیچیده می‌کند.

    پرطرفدار

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    35,315
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...