Ponuda s popustom na više licenci
Baza prijetnji Malware KkRAT Zlonamjerni softver

KkRAT Zlonamjerni softver

Do Mezo. Malware, Alati za udaljenu administraciju. godine
Prevedi na:

Istraživači Infoseca otkrili su aktivnu kampanju zlonamjernog softvera usmjerenu na korisnike kineskog govornog područja koja koristi prethodno nedokumentirani trojanac za udaljeni pristup nazvan kkRAT. Čini se da kampanja traje od početka svibnja 2025. i kombinira poznate RAT tehnike s modularnim učitavačima i obmanom kako bi izbjegla otkrivanje i postigla trajnost.

PODRIJETLO PRIJETNJI I VEZE NA KODNE LINIJE

Analiza pokazuje da kkRAT uvelike posuđuje od etabliranih obitelji: njegov mrežni protokol i neke strukture koda nalikuju onima koje koriste Gh0st RAT (Ghost RAT) i Big Bad Wolf (大灰狼), RAT koji su povijesno koristile kineske kibernetičke kriminalne skupine. Autori su dodali dodatnu enkripciju na kompresiju, stvarajući komunikacijski kanal sličan Ghostu s dodatnim korakom enkripcije.

NAČIN ISPORUKE — LAŽNI INSTALATERI NA GITHUB STRANICAMA

Akteri su na GitHub stranicama hostirali phishing stranice koje su se lažno predstavljale kao popularne aplikacije (na primjer, DingTalk) i isporučivale tri trojanca putem lažnih instalatora. Zloupotrebom ugleda GitHuba, operateri su povećali vjerojatnost da će žrtve vjerovati i pokretati instalatore. Stručnjaci napominju da GitHub račun koji se koristio za hostiranje stranica više nije dostupan.

PONAŠANJE INSTALATERA

Prilikom pokretanja, lažni instalacijski program provodi više provjera kako bi otkrio sandbox okruženja i virtualne strojeve te pokušava zaobići sigurnosne kontrole. Traži administratorske privilegije; ako su odobrene, nabraja i privremeno onemogućuje aktivne mrežne adaptere - mogućnost koja se koristi za ometanje antivirusnih mrežnih provjera i ometanje normalnog rada antivirusnog programa dok nastavlja s promjenama.

ANTI-AV TEHNIKE

Zlonamjerni softver koristi tehniku Bring-Your-Own-Vulnerable-Driver (BYOVD) za neutralizaciju zaštite krajnjih točaka, ponovno koristeći kod iz projekta otvorenog koda RealBlindingEDR. Posebno traži i cilja ove pakete zaštite za potrošače i poduzeća:

360 Internet Security paket

360 Potpuna Sigurnost

HeroBravo paket za dijagnostiku sustava

Kingsoft Internet Security

QQ电脑管家

Nakon što završi relevantne antivirusne procese, instalacijski program stvara zakazani zadatak koji se pokreće s SYSTEM privilegijama i izvršava batch skriptu pri svakoj prijavi korisnika, osiguravajući da se ciljani AV procesi automatski ubijaju pri svakoj prijavi. Zlonamjerni softver također mijenja unose u Windows registru na načine koji su u skladu s onemogućavanjem mrežnih provjera, a zatim ponovno omogućuje mrežne adaptere nakon što su njegove izmjene dovršene.

LANAC KORISNOG TERETA

Primarna uloga instalacijskog programa je pokretanje shellcodea, koji dohvaća i izvršava obfusciranu sekundarnu shellcode datoteku pod nazivom '2025.bin' s čvrsto kodiranog URL-a. Taj shellcode djeluje kao program za preuzimanje i dohvaća artefakt pod nazivom 'output.log', koji zatim kontaktira dva URL-a kako bi preuzeo dvije ZIP arhive:

  • trx38.zip — sadrži legitimnu izvršnu datoteku i zlonamjerni DLL koji se pokreće putem bočnog učitavanja DLL-a.
  • p.zip — sadrži datoteku pod nazivom longliq.cl koja sadrži šifrirani konačni korisni teret.

Zlonamjerni softver stvara prečac do legitimne izvršne datoteke iz datoteke trx38.zip, smješta taj prečac u korisnikovu mapu Startup radi trajnosti i pokreće legitimnu izvršnu datoteku kako bi se instalirao zlonamjerni DLL. DLL dešifrira i izvršava konačni sadržaj sadržan u longliq.cl. Konačni sadržaj kampanje varira ovisno o instanci kampanje; jedan potvrđeni sadržaj je kkRAT.

kkRAT MOGUĆNOSTI (NAREDBE, DODACI I PONAŠANJE)

kkRAT se povezuje s C2 poslužiteljem putem socketa, profilira zaraženi host i preuzima dodatke i naredbe koji omogućuju opsežno daljinsko upravljanje i prikupljanje podataka. Njegove uočene mogućnosti uključuju:

  • snimanje zaslona i simulacija korisničkog unosa (tipkovnica i miš)
  • čitanje i mijenjanje sadržaja međuspremnika (koristi se za zamjenu adrese kriptovalute)
  • omogućavanje funkcionalnosti udaljene radne površine i pokretanje/udaljeno zatvaranje aplikacija, uključujući preglednike
  • udaljeno izvršavanje naredbi putem interaktivne ljuske
  • upravljanje Windowsima na zaslonu i popisi/završavanje procesa
  • nabrajanje aktivnih mrežnih veza
  • popis instaliranih aplikacija i deinstaliranje odabranog softvera
  • čitanje vrijednosti registra automatskog pokretanja i nabrajanje unosa automatskog pokretanja
  • djeluje kao SOCKS5 proxy za usmjeravanje prometa i potencijalno zaobilaženje vatrozida ili VPN-ova
  • instaliranje i implementacija alata za daljinsko upravljanje kao što su Sunlogin i GotoHTTP
  • mehanizmi perzistencije i širok skup naredbi za pozivanje dodataka i operativnih funkcija

kkRAT također sadrži funkcionalnost brisanja podataka koja zamjenjuje kopirane adrese kriptovaluta i rutine za brisanje podataka iz niza preglednika i aplikacija za razmjenu poruka (uočeni primjeri: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer i Telegram).

SAŽETAK — ZAŠTO JE NAPADNA KAMPANJA ZNAČAJNA

Ova kampanja je značajna po kombiniranju: distribucije putem društvenog inženjeringa putem legitimnih GitHub stranica; naprednih tehnika protiv analize i anti-AV-a (detekcija sandboxa/VM-a, BYOVD korištenjem RealBlindingEDR koda); višestupanjskog programa za učitavanje koji koristi bočno učitavanje DLL-a i šifrirane spremnike sadržaja; i potpuno opremljenog RAT-a (kkRAT) koji podržava i krađu informacija (otimanje međuspremnika, snimanje zaslona, izvlačenje podataka) i operativne alate (alati za daljinsko upravljanje, proxying). Modularna arhitektura znači da se konačni sadržaj može zamijeniti, što povećava fleksibilnost za operatere i komplicira otkrivanje i atribuciju.

U trendu

Nagledanije

Učitavam...