KkRAT មេរោគ

អ្នកស្រាវជ្រាវ Infosec បានរកឃើញយុទ្ធនាការមេរោគសកម្មមួយ ដែលសំដៅលើអ្នកប្រើប្រាស់ដែលនិយាយភាសាចិន ដែលប្រើ Trojan ពីចម្ងាយដែលមិនមានឯកសារពីមុនមានឈ្មោះថា kkRAT។ យុទ្ធនាការនេះហាក់ដូចជាបានដំណើរការតាំងពីដើមខែឧសភា ឆ្នាំ 2025 ហើយរួមបញ្ចូលគ្នានូវបច្ចេកទេស RAT ដែលធ្លាប់ស្គាល់ជាមួយនឹងឧបករណ៍ផ្ទុកម៉ូឌុល និងការបោកបញ្ឆោត ដើម្បីគេចពីការរកឃើញ និងសម្រេចបាននូវភាពស្ថិតស្ថេរ។

ប្រភពដើមនៃការគំរាមកំហែង និងតំណភ្ជាប់លេខកូដ

ការវិភាគបង្ហាញថា kkRAT ខ្ចីច្រើនពីគ្រួសារដែលបានបង្កើតឡើង៖ ពិធីការបណ្តាញរបស់វា និងរចនាសម្ព័ន្ធកូដមួយចំនួនស្រដៀងនឹងកម្មវិធីដែលប្រើដោយ Gh0st RAT (Ghost RAT) និង Big Bad Wolf (大灰狼) ដែលជា RAT ដែលប្រើជាប្រវត្តិសាស្ត្រដោយក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលមានមូលដ្ឋាននៅប្រទេសចិន។ អ្នកនិពន្ធបានដាក់ការអ៊ិនគ្រីបបន្ថែមពីលើការបង្ហាប់ ដោយបង្កើតប៉ុស្តិ៍ទំនាក់ទំនងដូចខ្មោច ជាមួយនឹងជំហានការអ៊ិនគ្រីបបន្ថែម។

វិធីសាស្រ្តចែកចាយ - អ្នកដំឡើងក្លែងក្លាយដែលបង្ហោះនៅលើទំព័រ GITHUB

តារាសម្ដែងបានរៀបចំទំព័របន្លំនៅលើ GitHub Pages ដែលក្លែងបន្លំកម្មវិធីពេញនិយម (ឧទាហរណ៍ DingTalk) និងបានចែកចាយ Trojan បីតាមរយៈកម្មវិធីដំឡើងក្លែងក្លាយ។ តាមរយៈការបំពានកេរ្តិ៍ឈ្មោះរបស់ GitHub ប្រតិបត្តិករបានបង្កើនលទ្ធភាពដែលជនរងគ្រោះនឹងទុកចិត្ត និងដំណើរការកម្មវិធីដំឡើង។ អ្នក​ជំនាញ​កត់​សម្គាល់​ថា គណនី GitHub ដែល​ប្រើ​ដើម្បី​បង្ហោះ​ទំព័រ​នេះ​លែង​មាន​ទៀត​ហើយ។

ឥរិយាបទដំឡើង

នៅពេលប្រតិបត្តិ កម្មវិធីដំឡើងក្លែងក្លាយធ្វើការត្រួតពិនិត្យច្រើនដង ដើម្បីរកមើលបរិស្ថាន sandbox និងម៉ាស៊ីននិម្មិត ហើយព្យាយាមរំលងការគ្រប់គ្រងសុវត្ថិភាព។ វាជំរុញឱ្យមានសិទ្ធិជាអ្នកគ្រប់គ្រង; ប្រសិនបើអនុញ្ញាត វានឹងរាប់បញ្ចូល និងបិទដំណើរការអាដាប់ទ័របណ្តាញសកម្មជាបណ្តោះអាសន្ន — សមត្ថភាពដែលប្រើដើម្បីរំខានដល់ការត្រួតពិនិត្យបណ្តាញកំចាត់មេរោគ និងដើម្បីរំខានដល់ប្រតិបត្តិការ AV ធម្មតា ខណៈពេលដែលវាបន្តការផ្លាស់ប្តូររបស់វា។

បច្ចេកទេសប្រឆាំង AV

មេរោគប្រើបច្ចេកទេស Bring-Your-Own-Vulnerable-Driver (BYOVD) ដើម្បីបន្សាបការការពារចំណុចបញ្ចប់ ដោយប្រើប្រាស់កូដឡើងវិញពីគម្រោងប្រភពបើកចំហរបស់ RealBlindingEDR ។ ជាពិសេសវាស្វែងរក និងកំណត់គោលដៅសម្រាប់ឈុតការពារអ្នកប្រើប្រាស់ និងសហគ្រាសទាំងនេះ៖

360 ឈុតសុវត្ថិភាពអ៊ីនធឺណិត

360 សុវត្ថិភាពសរុប

ឈុតរោគវិនិច្ឆ័យប្រព័ន្ធ HeroBravo

Kingsoft Internet Security

QQ电脑管家

បន្ទាប់ពីបញ្ចប់ដំណើរការកំចាត់មេរោគដែលពាក់ព័ន្ធ កម្មវិធីដំឡើងនឹងបង្កើតកិច្ចការដែលបានកំណត់ពេលដែលកំពុងដំណើរការជាមួយនឹងសិទ្ធិប្រព័ន្ធ ដែលដំណើរការស្គ្រីបបាច់នៅលើការចូលរបស់អ្នកប្រើនីមួយៗ — ធានាថាដំណើរការ AV គោលដៅត្រូវបានសម្លាប់ដោយស្វ័យប្រវត្តិនៅរាល់ការចូល។ មេរោគនេះក៏កែប្រែធាតុចុះបញ្ជីរបស់ Windows តាមរបៀបដែលស្របជាមួយនឹងការបិទការត្រួតពិនិត្យបណ្តាញ បន្ទាប់មកបើកដំណើរការអាដាប់ទ័របណ្តាញឡើងវិញនៅពេលដែលការកែប្រែរបស់វាបានបញ្ចប់។

ខ្សែសង្វាក់បង់ប្រាក់

តួនាទីចម្បងរបស់អ្នកដំឡើងគឺដើម្បីដំណើរការកូដសែល ដែលទាញយក និងប្រតិបត្តិឯកសារសែលកូដបន្ទាប់បន្សំដែលមានភាពច្របូកច្របល់ដែលមានឈ្មោះថា '2025.bin' ពី URL ដែលពិបាកសរសេរកូដ។ shellcode នោះដើរតួជាអ្នកទាញយក និងទាញយកវត្ថុបុរាណមួយដែលមានឈ្មោះថា 'output.log' ដែលបន្ទាប់មកទាក់ទង URLs ពីរដើម្បីទាញយកបណ្ណសារហ្ស៊ីបពីរ៖

• trx38.zip — មាន​ឯកសារ​ដែល​អាច​ប្រតិបត្តិ​បាន​ស្រប​ច្បាប់​បូក​នឹង DLL ដែល​មាន​គំនិត​អាក្រក់​ដែល​ត្រូវ​បាន​បើក​ដំណើរ​ការ​តាម​រយៈ DLL sideloading។
• p.zip — មានឯកសារមួយហៅថា longlq.cl ដែលផ្ទុកបន្ទុកចុងក្រោយដែលបានអ៊ិនគ្រីប។

មេរោគនេះបង្កើតផ្លូវកាត់ទៅកាន់ការប្រតិបត្តិស្របច្បាប់ពី trx38.zip ដែលដាក់ផ្លូវកាត់នៅក្នុងថត Startup របស់អ្នកប្រើប្រាស់សម្រាប់ភាពស្ថិតស្ថេរ និងដំណើរការស្របច្បាប់ដែលអាចប្រតិបត្តិបាន ដូច្នេះវានឹងផ្ទុក DLL ដែលព្យាបាទ។ DLL ឌិគ្រីប និងដំណើរការ payload ចុងក្រោយដែលមានក្នុង longlq.cl ។ បន្ទុកចុងក្រោយរបស់យុទ្ធនាការនេះប្រែប្រួលទៅតាមឧទាហរណ៍នៃយុទ្ធនាការ។ បន្ទុកដែលបានបញ្ជាក់មួយគឺ kkRAT ។

សមត្ថភាព kkRAT (ពាក្យបញ្ជា ដោត និងឥរិយាបថ)

kkRAT ភ្ជាប់ទៅម៉ាស៊ីនមេ C2 លើរន្ធមួយ បង្ហាញទម្រង់ម៉ាស៊ីនដែលមានមេរោគ និងទាញយកកម្មវិធីជំនួយ និងពាក្យបញ្ជាដែលបើកការបញ្ជាពីចម្ងាយយ៉ាងទូលំទូលាយ និងការប្រមូលទិន្នន័យ។ សមត្ថភាពសង្កេតរបស់វារួមមាន:

• ការចាប់យកអេក្រង់ និងការក្លែងធ្វើនៃការបញ្ចូលរបស់អ្នកប្រើ (ក្តារចុច និងកណ្តុរ)
• ការអាន និងកែប្រែមាតិកាក្ដារតម្បៀតខ្ទាស់ (ប្រើសម្រាប់ការជំនួសអាសយដ្ឋាន cryptocurrency)
• ការបើកមុខងារផ្ទៃតុពីចម្ងាយ និងការបើកដំណើរការ/បិទកម្មវិធីពីចម្ងាយ រួមទាំងកម្មវិធីរុករកតាមអ៊ីនធឺណិតផងដែរ។
• ការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយតាមរយៈសែលអន្តរកម្ម
• ការគ្រប់គ្រងវីនដូនៅលើអេក្រង់ និងដំណើរការបញ្ជី/ការបញ្ចប់
• ការរាប់បញ្ចូលការភ្ជាប់បណ្តាញសកម្ម
• រាយកម្មវិធីដែលបានដំឡើង និងលុបកម្មវិធីដែលបានជ្រើសរើស
• ការអានតម្លៃ autorun Registry និងការរាប់បញ្ចូលធាតុ autorun
• ដើរតួជាប្រូកស៊ី SOCKS5 ដើម្បីបញ្ជូនចរាចរ និងអាចឆ្លងកាត់ជញ្ជាំងភ្លើង ឬ VPNs

kkRAT ក៏មានមុខងារ clipper ដែលជំនួសអាសយដ្ឋានកាបូប cryptocurrency ដែលបានចម្លង និងទម្លាប់ក្នុងការសម្អាតទិន្នន័យពីកម្មវិធីរុករក និងកម្មវិធីផ្ញើសារជាច្រើនប្រភេទ (ឧទាហរណ៍ដែលបានសង្កេតឃើញ៖ 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer និង Telegram)។

សេចក្តីសង្ខេប — ហេតុអ្វីបានជាយុទ្ធនាការវាយប្រហារមានសារៈសំខាន់

យុទ្ធនាការនេះគឺគួរឱ្យកត់សម្គាល់សម្រាប់ការរួមបញ្ចូល: ការចែកចាយវិស្វកម្មសង្គមតាមរយៈទំព័រ GitHub ដែលមើលទៅស្របច្បាប់។ បច្ចេកទេសប្រឆាំងការវិភាគ និងប្រឆាំង AV កម្រិតខ្ពស់ (ការរកឃើញប្រអប់ខ្សាច់/VM, BYOVD ដោយប្រើកូដ RealBlindingEDR); កម្មវិធីផ្ទុកច្រើនដំណាក់កាលដែលប្រើ DLL sideloading និង encrypted payload containers; និង RAT ដែលមានលក្ខណៈពិសេសយ៉ាងពេញលេញ (kkRAT) ដែលគាំទ្រទាំងការលួចព័ត៌មាន (ការលួចយកក្ដារតម្បៀតខ្ទាស់ ការចាប់យកអេក្រង់ ការទាញយកទិន្នន័យ) និងឧបករណ៍ប្រតិបត្តិការ (ឧបករណ៍គ្រប់គ្រងពីចម្ងាយ ប្រូកស៊ី)។ ស្ថាបត្យកម្មម៉ូឌុលមានន័យថាបន្ទុកចុងក្រោយអាចត្រូវបានផ្លាស់ប្តូរ បង្កើនភាពបត់បែនសម្រាប់ប្រតិបត្តិករ និងភាពស្មុគស្មាញក្នុងការរកឃើញ និងការបញ្ជាក់។