הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית kkRAT

תוכנה זדונית kkRAT

עד Mezo ב-תוכנה זדונית, כלי ניהול מרחוק
לתרגם ל:

חוקרי אינפו-סק חשפו קמפיין תוכנות זדוניות פעיל המכוון למשתמשים דוברי סינית, המשתמש בטרויאני גישה מרחוק שלא תועד בעבר בשם kkRAT. נראה כי הקמפיין פועל מתחילת מאי 2025 ומשלב טכניקות RAT מוכרות עם טוענים מודולריים והונאה כדי להתחמק מגילוי ולהשיג נוכחות.

מקורות איומים וקישורי קודי קוד

ניתוח מראה ש-kkRAT לווה רבות ממשפחות מבוססות: פרוטוקול הרשת שלו וחלק ממבני הקוד דומים לאלה המשמשים את Gh0st RAT (Ghost RAT) ואת Big Bad Wolf (大灰狼), RAT בו השתמשו בעבר קבוצות פושעי סייבר מסין. המחברים הוסיפו הצפנה נוספת על גבי הדחיסה, ויצרו ערוץ תקשורת דמוי Ghost עם שלב הצפנה נוסף.

שיטת אספקה - מתקינים מזויפים המאוחסנים בדפי GITHUB

גורמים אירחו דפי פישינג בדפי GitHub שהתחזו לאפליקציות פופולריות (לדוגמה, DingTalk) והעבירו שלושה סוסים טרויאניים באמצעות מתקינים מזויפים. על ידי ניצול לרעה של המוניטין של GitHub, המפעילים הגבירו את הסבירות שהקורבנות יבטחו ויפעילו את מתקיני האפליקציות. מומחים מציינים כי חשבון GitHub ששימש לאירוח הדפים אינו זמין עוד.

התנהגות המתקין

כאשר הוא מבוצע, מתקין הרשת המזויף מבצע בדיקות מרובות כדי לזהות סביבות ארגז חול ומכונות וירטואליות ומנסה לעקוף בקרות אבטחה. הוא מבקש הרשאות מנהל; אם יינתנו לו הרשאות מנהל, הוא מונה ומשבית זמנית מתאמי רשת פעילים - יכולת המשמשת להפרעה לבדיקות רשת של האנטי-וירוס ולשיבוש פעולת האנטי-וירוס הרגילה בזמן שהוא ממשיך בשינויים שלו.

טכניקות נגד נשק אנטי-וירוס

התוכנה הזדונית משתמשת בטכניקת BYOVD (Bring-Your-Own-Vulnerable-Driver) כדי לנטרל הגנות נקודות קצה, תוך שימוש חוזר בקוד מפרויקט הקוד הפתוח RealBlindingEDR. היא מחפשת ומכוונת ספציפית את חבילות ההגנה לצרכנים ולארגונים הבאות:

חבילת אבטחת אינטרנט 360

אבטחה מוחלטת 360

חבילת אבחון מערכת HeroBravo

קינגסופט אבטחת אינטרנט

QQ电脑管家

לאחר סיום תהליכי האנטי-וירוס הרלוונטיים, המתקין יוצר משימה מתוזמנת הפועלת עם הרשאות SYSTEM ומבצע סקריפט אצווה בכל כניסה של משתמש - ובכך מבטיח שתהליכי האנטי-וירוס הממוקדים מושבתים אוטומטית בכל כניסה. התוכנה הזדונית משנה גם ערכי רישום של Windows בדרכים התואמות את השבתת בדיקות הרשת, ולאחר מכן מפעילה מחדש את מתאמי הרשת לאחר השלמת השינויים.

שרשרת מטען

התפקיד העיקרי של המתקין הוא להריץ shellcode, אשר מאחזר ומפעיל קובץ shellcode משני מעורפל בשם '2025.bin' מכתובת URL מקודדת קשיח. shellcode זה משמש כמוריד ומאחזר ארטיפקט בשם 'output.log', אשר לאחר מכן יוצר קשר עם שתי כתובות URL כדי להוריד שני ארכיוני ZIP:

  • trx38.zip - מכיל קובץ הפעלה לגיטימי בתוספת קובץ DLL זדוני המופעל באמצעות טעינה צדדית של DLL.
  • p.zip - מכיל קובץ בשם longlq.cl שמכיל מטען סופי מוצפן.

הקובץ הזדוני יוצר קיצור דרך לקובץ ההפעלה הלגיטימי מ-trx38.zip, ממקם את קיצור הדרך הזה בתיקיית ההפעלה של המשתמש לצורך שמירה, ומפעיל את קובץ ההפעלה הלגיטימי כך שיטען בצד את קובץ ה-DLL הזדוני. ה-DLL מפענח ומפעיל את המטען הסופי הכלול ב-longlq.cl. המטען הסופי של הקמפיין משתנה בהתאם למופע הקמפיין; מטען אחד שאושר הוא kkRAT.

יכולות kkRAT (פקודות, תוספים והתנהגות)

kkRAT מתחבר לשרת C2 דרך שקע, יוצר פרופיל של המארח הנגוע ומוריד תוספים ופקודות המאפשרים שליטה מרחוק ואיסוף נתונים נרחבים. היכולות הנצפות שלו כוללות:

  • צילום מסך וסימולציה של קלט משתמש (מקלדת ועכבר)
  • קריאה ושינוי תוכן הלוח (משמש להחלפת כתובות מטבעות קריפטוגרפיים)
  • הפעלת פונקציונליות של שולחן עבודה מרוחק והפעלה/סגירה מרחוק של יישומים, כולל דפדפנים
  • ביצוע פקודה מרחוק באמצעות מעטפת אינטראקטיבית
  • ניהול Windows על המסך ורשימות/סיום תהליכים
  • ספירת חיבורי רשת פעילים
  • רשימת יישומים מותקנים והסרת התקנה של תוכנות נבחרות
  • קריאת ערכי רישום של הפעלה אוטומטית וספירת ערכי הפעלה אוטומטית
  • פועל כפרוקסי של SOCKS5 לניתוב תעבורה ועקיפת חומות אש או רשתות VPN באופן פוטנציאלי
  • התקנה ופריסה של כלי ניהול מרחוק כגון Sunlogin ו-GotoHTTP
  • מנגנוני התמדה ומערכת רחבה של פקודות להפעלת תוספים ופונקציות תפעוליות

    • kkRAT מכיל גם פונקציונליות של גזיזת נתונים המחליפה כתובות ארנקי קריפטו שהועתקו, ושגרות לניקוי נתונים ממגוון דפדפנים ואפליקציות העברת הודעות (דוגמאות שנצפו: דפדפן 360 Speed, גוגל כרום, אינטרנט אקספלורר, מוזילה פיירפוקס, דפדפן QQ, סוגו אקספלורר וטלגרם).

    סיכום - מדוע קמפיין ההתקפה משמעותי

    קמפיין זה בולט בשילובו: הפצה מבוססת הנדסה חברתית באמצעות דפי GitHub שנראים לגיטימיים; טכניקות מתקדמות נגד ניתוח ואנטי-וירוס (זיהוי ארגז חול/מכונות וירטואליות, BYOVD באמצעות קוד RealBlindingEDR); טוען רב-שלבי המשתמש בטעינה צדדית של DLL ובמכולות מוצפנות; ו-RAT מלא (kkRAT) התומך הן בגניבת מידע (חטיפת לוח גזירים, לכידת מסך, חילוץ נתונים) והן בכלים תפעוליים (כלי ניהול מרחוק, פרוקסי). הארכיטקטורה המודולרית מאפשרת החלפה של המטען הסופי, מה שמגדיל את הגמישות עבור המפעילים ומסבך את הזיהוי והייחוס.

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    35,315
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...