KkRAT kártevő
Az információs biztonsági kutatók lelepleztek egy kínaiul beszélő felhasználókat célzó aktív kártevő kampányt, amely egy korábban nem dokumentált, kkRAT nevű távoli hozzáférésű trójai vírust használ. A kampány úgy tűnik, hogy 2025 május eleje óta fut, és az ismerős RAT technikákat moduláris betöltőkkel és megtévesztéssel ötvözi az észlelés elkerülése és a folyamatosság elérése érdekében.
Tartalomjegyzék
FENYEGETÉS EREDETE ÉS KÓDVONAL KAPCSOLATOK
Az elemzés azt mutatja, hogy a kkRAT nagymértékben merít ihletet a már bevett protokollcsaládoktól: hálózati protokollja és egyes kódstruktúrái hasonlítanak a Gh0st RAT (Ghost RAT) és a Big Bad Wolf (大灰狼) által használtakhoz, amely RAT-ot hagyományosan kínai kiberbűnözői csoportok használtak. A szerzők a tömörítésre további titkosítást rétegeztek, így egy Ghost-szerű kommunikációs csatornát hoztak létre egy extra titkosítási lépéssel.
SZÁLLÍTÁSI MÓD — HAMIS TELEPÍTŐK GITHUB OLDALAKON
A GitHub oldalakon adathalász oldalakat üzemeltettek a szereplők, amelyek népszerű alkalmazásokat (például a DingTalk) utánoztak, és három trójai vírust juttattak el hamis telepítőkön keresztül. A GitHub hírnevével visszaélve az üzemeltetők növelték annak valószínűségét, hogy az áldozatok megbíznak a telepítőkben és futtatják azokat. A szakértők megjegyzik, hogy az oldalak üzemeltetéséhez használt GitHub-fiók már nem érhető el.
TELEPÍTŐI VISELKEDÉS
Futáskor a hamis telepítő több ellenőrzést végez a sandbox környezetek és a virtuális gépek észlelésére, és megpróbálja megkerülni a biztonsági ellenőrzéseket. Rendszergazdai jogosultságokat kér; ha megadja azokat, felsorolja és ideiglenesen letiltja az aktív hálózati adaptereket – ezt a képességet arra használják, hogy megzavarják a víruskereső hálózati ellenőrzéseit és megzavarják a vírusirtó normál működését, miközben a módosításokat végrehajtja.
AV-ELLENI TECHNIKÁK
A rosszindulatú program a Bring-Your-Own-Vulnerable-Driver (BYOVD) technikát használja a végpontvédelmi megoldások semlegesítésére, a RealBlindingEDR nyílt forráskódú projekt kódját újra felhasználva. Kifejezetten a következő fogyasztói és vállalati védelmi csomagokat keresi és célozza meg:
360 Internet Security csomag
360 Teljes Biztonság
HeroBravo rendszerdiagnosztikai csomag
Kingsoft Internet Security
QQ电脑管家
A vonatkozó vírusvédelmi folyamatok leállítása után a telepítő létrehoz egy ütemezett, SYSTEM jogosultságokkal futó feladatot, amely minden felhasználói bejelentkezéskor végrehajt egy kötegelt szkriptet – biztosítva, hogy a célzott vírusvédelmi folyamatok minden bejelentkezéskor automatikusan leálljanak. A rosszindulatú program a hálózati ellenőrzések letiltásával összhangban módosítja a Windows rendszerleíró adatbázis bejegyzéseit, majd a módosítások befejezése után újra engedélyezi a hálózati adaptereket.
HASZNOS TEHERLÁNC
A telepítő elsődleges szerepe a shellkód futtatása, amely egy fixen kódolt URL-címről lekér és végrehajt egy obfuszkált másodlagos shellkód fájlt, melynek neve „2025.bin”. Ez a shellkód letöltőként működik, és lekér egy „output.log” nevű műterméket, amely ezután két URL-címmel kapcsolatba lép, hogy letöltsön két ZIP archívumot:
- trx38.zip – egy legitim futtatható fájlt, valamint egy rosszindulatú DLL-t tartalmaz, amely DLL oldaltöltéssel indul.
- p.zip – egy longlq.cl nevű fájlt tartalmaz, amely titkosított végső hasznos adatot tartalmaz.
A kártevő létrehoz egy parancsikont a trx38.zip fájlban található legitim futtatható fájlhoz, elhelyezi ezt a parancsikont a felhasználó Startup mappájában a mentés érdekében, majd lefuttatja a legitim futtatható fájlt, így az oldalra tölti a rosszindulatú DLL-t. A DLL visszafejti és végrehajtja a longlq.cl fájlban található végső hasznos adatot. A kampány végső hasznos adata kampánypéldányonként változik; az egyik megerősített hasznos adat a kkRAT.
kkRAT KÉPESSÉGEK (PARANCSOK, BŐVÍTMÉNYEK ÉS VISELKEDÉS)
A kkRAT egy socketen keresztül csatlakozik egy C2 szerverhez, profilt készít a fertőzött gépről, és olyan bővítményeket és parancsokat tölt le, amelyek lehetővé teszik a széleskörű távvezérlést és adatgyűjtést. A megfigyelt képességei a következők:
- képernyőfelvétel és felhasználói bevitel szimulációja (billentyűzet és egér)
- vágólap tartalmának olvasása és módosítása (kriptovaluta cím cseréjéhez használatos)
- távoli asztali funkciók engedélyezése és alkalmazások, beleértve a böngészőket is, indítása/távoli bezárása
- távoli parancsvégrehajtás interaktív shell-en keresztül
- képernyőn megjelenő Windows-kezelés és folyamatlisták/leállítás
- aktív hálózati kapcsolatok felsorolása
- telepített alkalmazások listázása és a kiválasztott szoftverek eltávolítása
- az automatikus futtatás beállításjegyzékének értékeinek olvasása és az automatikus futtatás bejegyzéseinek felsorolása
- SOCKS5 proxyként működik a forgalom irányítására és potenciálisan a tűzfalak vagy VPN-ek megkerülésére
- távoli felügyeleti eszközök, például a Sunlogin és a GotoHTTP telepítése és üzembe helyezése
- perzisztencia mechanizmusok és széleskörű parancsok a bővítmények és működési funkciók meghívásához
A kkRAT tartalmaz olyan vágófunkciót is, amely lecseréli a másolt kriptovaluta-tárcacímeket, valamint rutinokat az adatok törlésére számos böngészőből és üzenetküldő alkalmazásból (például: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer és Telegram).
ÖSSZEFOGLALÁS – MIÉRT JELENTŐS A TÁMADÁSI KAMPÁNY?
Ez a kampány a következők ötvözete: társadalmi manipuláción alapuló terjesztés legitimnek tűnő GitHub oldalakon keresztül; fejlett anti-elemzési és anti-virus technikák (sandbox/VM észlelés, BYOVD RealBlindingEDR kóddal); egy többlépcsős betöltő, amely DLL oldaltöltést és titkosított hasznos adattárolókat használ; és egy teljes funkcionalitású RAT (kkRAT), amely támogatja mind az információlopást (vágólap-eltérítés, képernyőkép rögzítés, adatlopás), mind az operatív eszközöket (távoli felügyeleti eszközök, proxy). A moduláris architektúra azt jelenti, hogy a végső hasznos adat cserélhető, ami növeli a rugalmasságot az operátorok számára, és bonyolítja az észlelést és attribúciót.
