KkRAT मैलवेयर

इन्फोसेक के शोधकर्ताओं ने चीनी भाषी उपयोगकर्ताओं को निशाना बनाकर चलाए जा रहे एक सक्रिय मैलवेयर अभियान का पर्दाफ़ाश किया है, जो kkRAT नामक एक पहले से अज्ञात रिमोट एक्सेस ट्रोजन का इस्तेमाल करता है। ऐसा प्रतीत होता है कि यह अभियान मई 2025 की शुरुआत से चल रहा है और पहचान से बचने और लगातार बने रहने के लिए मॉड्यूलर लोडर और धोखे के साथ परिचित RAT तकनीकों का इस्तेमाल करता है।

खतरे की उत्पत्ति और कोडलाइन लिंक

विश्लेषण से पता चलता है कि kkRAT स्थापित परिवारों से काफ़ी हद तक उधार लेता है: इसका नेटवर्क प्रोटोकॉल और कुछ कोड संरचनाएँ Gh0st RAT (घोस्ट RAT) और बिग बैड वुल्फ (大灰狼) द्वारा उपयोग किए जाने वाले प्रोटोकॉल से मिलती-जुलती हैं, जो कि चीन स्थित साइबर अपराधी समूहों द्वारा ऐतिहासिक रूप से उपयोग किया जाने वाला RAT है। लेखकों ने संपीड़न के ऊपर अतिरिक्त एन्क्रिप्शन की परत चढ़ाई, जिससे एक अतिरिक्त एन्क्रिप्शन चरण के साथ घोस्ट जैसा संचार चैनल तैयार हुआ।

वितरण विधि - GITHUB पृष्ठों पर होस्ट किए गए नकली इंस्टॉलर

कर्ताओं ने GitHub पेजों पर फ़िशिंग पेज होस्ट किए जो लोकप्रिय एप्लिकेशन (उदाहरण के लिए, DingTalk) की नकल करते थे और नकली इंस्टॉलर के ज़रिए तीन ट्रोजन वितरित करते थे। GitHub की प्रतिष्ठा का दुरुपयोग करके, ऑपरेटरों ने इस संभावना को बढ़ा दिया कि पीड़ित इंस्टॉलर पर भरोसा करेंगे और उन्हें चलाएँगे। विशेषज्ञों का कहना है कि पेज होस्ट करने के लिए इस्तेमाल किया गया GitHub अकाउंट अब उपलब्ध नहीं है।

इंस्टॉलर व्यवहार

जब यह क्रियान्वित होता है, तो नकली इंस्टॉलर सैंडबॉक्स वातावरण और वर्चुअल मशीनों का पता लगाने के लिए कई जाँचें करता है और सुरक्षा नियंत्रणों को बायपास करने का प्रयास करता है। यह व्यवस्थापक विशेषाधिकारों के लिए संकेत देता है; यदि अनुमति मिल जाती है, तो यह सक्रिय नेटवर्क एडाप्टरों को सूचीबद्ध करता है और अस्थायी रूप से अक्षम कर देता है - यह एक ऐसी क्षमता है जिसका उपयोग एंटीवायरस नेटवर्क जाँच में हस्तक्षेप करने और परिवर्तनों के साथ आगे बढ़ने के दौरान सामान्य AV संचालन को बाधित करने के लिए किया जाता है।

एंटी-एवी तकनीकें

यह मैलवेयर एंडपॉइंट सुरक्षा को बेअसर करने के लिए "अपने-अपने-असुरक्षित-ड्राइवर-लाएँ" (BYOVD) तकनीक का इस्तेमाल करता है, और RealBlindingEDR ओपन-सोर्स प्रोजेक्ट के कोड का दोबारा इस्तेमाल करता है। यह खास तौर पर इन उपभोक्ता और एंटरप्राइज़ सुरक्षा सूट्स को खोजता और निशाना बनाता है:

360 इंटरनेट सुरक्षा सूट

360 कुल सुरक्षा

हीरोब्रावो सिस्टम डायग्नोस्टिक्स सूट

किंग्सॉफ्ट इंटरनेट सुरक्षा

QQ के बारे में जानें

प्रासंगिक एंटीवायरस प्रक्रियाओं को समाप्त करने के बाद, इंस्टॉलर सिस्टम विशेषाधिकारों के साथ चलने वाला एक शेड्यूल्ड कार्य बनाता है जो प्रत्येक उपयोगकर्ता लॉगऑन पर एक बैच स्क्रिप्ट निष्पादित करता है - यह सुनिश्चित करते हुए कि लक्षित AV प्रक्रियाएँ प्रत्येक लॉगिन पर स्वचालित रूप से समाप्त हो जाएँ। मैलवेयर नेटवर्क जाँचों को अक्षम करने के अनुरूप विंडोज़ रजिस्ट्री प्रविष्टियों को भी संशोधित करता है, और फिर अपने संशोधनों के पूरा होने पर नेटवर्क एडेप्टर को पुनः सक्षम करता है।

पेलोड श्रृंखला

इंस्टॉलर की मुख्य भूमिका शेलकोड चलाना है, जो एक हार्ड-कोडेड URL से '2025.bin' नामक एक अस्पष्ट द्वितीयक शेलकोड फ़ाइल प्राप्त करता है और उसे निष्पादित करता है। यह शेलकोड एक डाउनलोडर के रूप में कार्य करता है और 'output.log' नामक एक आर्टिफैक्ट प्राप्त करता है, जो फिर दो ZIP संग्रहों को डाउनलोड करने के लिए दो URL से संपर्क करता है:

• trx38.zip - इसमें एक वैध निष्पादनयोग्य फ़ाइल के साथ-साथ एक दुर्भावनापूर्ण DLL भी शामिल है, जिसे DLL साइडलोडिंग के माध्यम से लॉन्च किया जाता है।
• p.zip - इसमें longlq.cl नामक एक फ़ाइल होती है जिसमें एन्क्रिप्टेड अंतिम पेलोड होता है।

मैलवेयर trx38.zip से वैध निष्पादन योग्य फ़ाइल का एक शॉर्टकट बनाता है, उस शॉर्टकट को उपयोगकर्ता के स्टार्टअप फ़ोल्डर में स्थायी रूप से रखता है, और वैध निष्पादन योग्य फ़ाइल को चलाता है ताकि वह दुर्भावनापूर्ण DLL को साइडलोड कर सके। DLL longlq.cl में निहित अंतिम पेलोड को डिक्रिप्ट और निष्पादित करता है। अभियान का अंतिम पेलोड अभियान इंस्टेंस के अनुसार भिन्न होता है; एक पुष्ट पेलोड kkRAT है।

kkRAT क्षमताएँ (कमांड, प्लगइन्स और व्यवहार)

kkRAT एक सॉकेट के माध्यम से C2 सर्वर से जुड़ता है, संक्रमित होस्ट की प्रोफ़ाइल बनाता है, और प्लगइन्स और कमांड डाउनलोड करता है जो व्यापक रिमोट कंट्रोल और डेटा संग्रह को सक्षम बनाते हैं। इसकी देखी गई क्षमताओं में शामिल हैं:

• उपयोगकर्ता इनपुट (कीबोर्ड और माउस) का स्क्रीन कैप्चर और सिमुलेशन
• क्लिपबोर्ड सामग्री को पढ़ना और संशोधित करना (क्रिप्टोकरेंसी पता प्रतिस्थापन के लिए उपयोग किया जाता है)
• दूरस्थ डेस्कटॉप कार्यक्षमता को सक्षम करना और ब्राउज़रों सहित अनुप्रयोगों को लॉन्च करना/दूरस्थ रूप से बंद करना
• एक इंटरैक्टिव शेल के माध्यम से दूरस्थ कमांड निष्पादन
• ऑन-स्क्रीन विंडोज़ प्रबंधन और प्रक्रिया सूची/समाप्ति
• सक्रिय नेटवर्क कनेक्शनों की गणना
• इंस्टॉल किए गए एप्लिकेशन को सूचीबद्ध करना और चयनित सॉफ़्टवेयर को अनइंस्टॉल करना
• ऑटोरन रजिस्ट्री मानों को पढ़ना और ऑटोरन प्रविष्टियों की गणना करना
• ट्रैफ़िक को रूट करने और संभावित रूप से फ़ायरवॉल या VPN को बायपास करने के लिए SOCKS5 प्रॉक्सी के रूप में कार्य करना

kkRAT में क्लिपर कार्यक्षमता भी शामिल है जो कॉपी किए गए क्रिप्टोकरेंसी वॉलेट पते को बदल देती है, और ब्राउज़रों और मैसेजिंग ऐप्स की एक श्रृंखला से डेटा को साफ़ करने के लिए रूटीन (उदाहरण: 360 स्पीड ब्राउज़र, गूगल क्रोम, इंटरनेट एक्सप्लोरर, मोज़िला फ़ायरफ़ॉक्स, क्यूक्यू ब्राउज़र, सोगौ एक्सप्लोरर और टेलीग्राम)।

सारांश - हमला अभियान क्यों महत्वपूर्ण है

यह अभियान इन संयोजनों के लिए उल्लेखनीय है: वैध दिखने वाले GitHub पेजों के माध्यम से सोशल-इंजीनियरिंग वितरण; उन्नत एंटी-एनालिसिस और एंटी-एवी तकनीकें (सैंडबॉक्स/वीएम डिटेक्शन, RealBlindingEDR कोड का उपयोग करके BYOVD); एक मल्टी-स्टेज लोडर जो DLL साइडलोडिंग और एन्क्रिप्टेड पेलोड कंटेनरों का उपयोग करता है; और एक पूर्ण विशेषताओं वाला RAT (kkRAT) जो सूचना चोरी (क्लिपबोर्ड अपहरण, स्क्रीन कैप्चर, डेटा एक्सफ़िल्टरेशन) और ऑपरेशनल टूलिंग (रिमोट मैनेजमेंट टूल, प्रॉक्सीइंग) दोनों का समर्थन करता है। मॉड्यूलर आर्किटेक्चर का अर्थ है कि अंतिम पेलोड को बदला जा सकता है, जिससे ऑपरेटरों के लिए लचीलापन बढ़ता है और डिटेक्शन और एट्रिब्यूशन जटिल हो जाता है।