KkRAT-haittaohjelma
Tietoturvatutkijat ovat paljastaneet aktiivisen haittaohjelmakampanjan, joka on suunnattu kiinankielisille käyttäjille ja joka käyttää aiemmin dokumentoimatonta kkRAT-nimistä etäkäyttötroijalaista. Kampanja näyttää olleen käynnissä toukokuun 2025 alusta lähtien, ja se yhdistää tuttuja RAT-tekniikoita modulaarisiin latausohjelmiin ja petokseen välttääkseen havaitsemisen ja saavuttaakseen pysyvyyden.
Sisällysluettelo
UHAN ALKUPERÄ JA KOODILINKIT
Analyysi osoittaa, että kkRAT lainaa paljon vakiintuneilta hyökkäysohjelmaperheiltä: sen verkkoprotokolla ja jotkin koodirakenteet muistuttavat Gh0st RAT:n (Ghost RAT) ja Big Bad Wolfin (大灰狼) käyttämiä protokollaa. Kyseessä on RAT, jota ovat perinteisesti käyttäneet kiinalaiset kyberrikollisryhmät. Kirjoittajat lisäsalausta pakkauksen päälle, jolloin syntyi Ghostin kaltainen viestintäkanava, jossa on ylimääräinen salausvaihe.
TOIMITUSTAPA — GITHUB-SIVUILLA YLLÄPITÄVÄT VÄÄRENNETTYJEN ASENTAJIEN OHJELMISTO
Toimijat isännöivät GitHub-sivuilla tietojenkalastelusivuja, jotka jäljittelivät suosittuja sovelluksia (esimerkiksi DingTalk) ja toimittivat kolme troijalaista väärennettyjen asennusohjelmien kautta. Väärinkäyttämällä GitHubin mainetta operaattorit lisäsivät todennäköisyyttä, että uhrit luottaisivat asennusohjelmiin ja suorittaisivat ne. Asiantuntijat huomauttavat, että sivujen isännöintiin käytetty GitHub-tili ei ole enää käytettävissä.
ASENTAJAN TOIMINTA
Suoritettaessa väärennetty asennusohjelma suorittaa useita tarkistuksia hiekkalaatikkoympäristöjen ja virtuaalikoneiden havaitsemiseksi ja yrittää ohittaa suojauskontrollit. Se pyytää järjestelmänvalvojan oikeuksia; jos ne myönnetään, se luetteloi ja poistaa käytöstä aktiiviset verkkosovittimet väliaikaisesti – tätä toimintoa käytetään häiritsemään virustorjuntaohjelman verkkotarkistuksia ja normaalia virustorjuntaohjelman toimintaa muutosten aikana.
AV-vastaiset tekniikat
Haittaohjelma käyttää Bring-Your-Own-Vulnerable-Driver (BYOVD) -tekniikkaa päätepisteiden suojausten neutraloimiseen käyttäen uudelleen RealBlindingEDR-avoimen lähdekoodin projektin koodia. Se etsii ja kohdistaa hyökkäyksensä erityisesti näihin kuluttaja- ja yritystason suojausratkaisuihin:
360 Internet Security -paketti
360 Täydellinen turvallisuus
HeroBravo-järjestelmän diagnostiikkapaketti
Kingsoft Internet Security
QQ电脑管家
Lopetettuaan asiaankuuluvat virustorjuntaprosessit asentaja luo ajoitetun tehtävän, joka toimii JÄRJESTELMÄ-oikeuksilla ja suorittaa eräajokomentosarjan jokaisen käyttäjän kirjautumisen yhteydessä – varmistaen, että kohdennetut virustorjuntaprosessit lopetetaan automaattisesti jokaisen kirjautumisen yhteydessä. Haittaohjelma muokkaa myös Windowsin rekisterimerkintöjä samalla tavalla kuin verkkotarkistukset on poistettu käytöstä, ja ottaa verkkosovittimet uudelleen käyttöön, kun muutokset on tehty.
HYÖTYKUORMAKETJU
Asennusohjelman ensisijainen tehtävä on suorittaa komentotulkkikoodia, joka noutaa ja suorittaa vaikeasti koodatusta URL-osoitteesta obfusoidun toissijaisen komentotulkkikooditiedoston nimeltä '2025.bin'. Tämä komentotulkkikoodi toimii lataajana ja noutaa 'output.log'-nimisen artefaktin, joka sitten ottaa yhteyttä kahteen URL-osoitteeseen ladatakseen kaksi ZIP-arkistoa:
- trx38.zip — sisältää laillisen suoritettavan tiedoston sekä haitallisen DLL-tiedoston, joka käynnistetään DLL-sivulatauksen kautta.
- p.zip — sisältää longlq.cl-nimisen tiedoston, joka sisältää salatun lopullisen hyötykuorman.
Haittaohjelma luo pikakuvakkeen lailliseen suoritettavaan tiedostoon trx38.zip-tiedostosta, sijoittaa pikakuvakkeen käyttäjän Käynnistys-kansioon säilytettäväksi ja suorittaa laillisen suoritettavan tiedoston, jolloin se sivulataa haitallisen DLL-tiedoston. DLL purkaa ja suorittaa longlq.cl-tiedostossa olevan lopullisen hyötytiedoston. Kampanjan lopullinen hyötytiedosto vaihtelee kampanjaesiintymän mukaan; yksi vahvistettu hyötytiedosto on kkRAT.
kkRAT-OMINAISUUDET (KOMENNOT, LISÄOSAT JA KÄYTTÄYTYMINEN)
kkRAT muodostaa yhteyden C2-palvelimeen soketin kautta, profiloi tartunnan saaneen isännän ja lataa laajennuksia ja komentoja, jotka mahdollistavat laajan etähallinnan ja tiedonkeruun. Sen havaittuihin ominaisuuksiin kuuluvat:
- näytön kaappaus ja käyttäjän syötteen simulointi (näppäimistö ja hiiri)
- leikepöydän sisällön lukeminen ja muokkaaminen (käytetään kryptovaluuttaosoitteen korvaamiseen)
- etätyöpöytätoimintojen käyttöönotto ja sovellusten, mukaan lukien selainten, käynnistäminen/sulkeminen etänä
- etäkomennon suorittaminen interaktiivisen komentotulkin kautta
- näytöllä näkyvät Windowsin hallinta- ja prosessiluettelot/lopetus
- aktiivisten verkkoyhteyksien luettelointi
- asennettujen sovellusten listaaminen ja valittujen ohjelmistojen poistaminen
- automaattisen käynnistyksen rekisteriarvojen lukeminen ja automaattisen käynnistyksen merkintöjen luettelointi
- toimii SOCKS5-välityspalvelimena liikenteen reitittämiseksi ja mahdollisesti palomuurien tai VPN-verkkojen ohittamiseksi
- etähallintatyökalujen, kuten Sunloginin ja GotoHTTP:n, asentaminen ja käyttöönotto
- pysyvyysmekanismit ja laaja valikoima komentoja laajennusten ja operatiivisten toimintojen käynnistämiseksi
kkRAT sisältää myös leikkaajatoiminnon, joka korvaa kopioidut kryptovaluuttalompakoiden osoitteet, sekä rutiineja tietojen poistamiseksi useista selaimista ja viestisovelluksista (esimerkkejä havaituista: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer ja Telegram).
YHTEENVETO — MIKSI HYÖKKÄYSKAMPANJA ON MERKITTÄVÄ
Tämä kampanja on merkittävä yhdistämällä: sosiaalisen manipuloinnin jakelun laillisilta näyttävien GitHub-sivujen kautta; edistyneet anti-analyysi- ja antivirus-tekniikat (hiekkalaatikko-/virtuaalikoneiden tunnistus, BYOVD RealBlindingEDR-koodilla); monivaiheisen latausohjelman, joka käyttää DLL-sivulatausta ja salattuja hyötykuormasäiliöitä; ja täysin varustellun RAT:n (kkRAT), joka tukee sekä tietovarkauksia (leikepöydän kaappaaminen, näytön kaappaaminen, tietojen vuotaminen) että operatiivisia työkaluja (etähallintatyökalut, välityspalvelin). Modulaarinen arkkitehtuuri tarkoittaa, että lopullista hyötykuormaa voidaan vaihtaa, mikä lisää operaattoreiden joustavuutta ja vaikeuttaa havaitsemista ja attribuutiota.
