KkRAT kenkėjiška programa
Informacijos saugumo tyrėjai atskleidė aktyvią kenkėjiškų programų kampaniją, nukreiptą į kinų kalba kalbančius vartotojus, naudojant anksčiau nedokumentuotą nuotolinės prieigos Trojos arklį, vadinamą kkRAT. Atrodo, kad kampanija vykdoma nuo 2025 m. gegužės pradžios ir joje derinami pažįstami RAT metodai su moduliniais įkrovikliais ir apgaule, siekiant išvengti aptikimo ir užtikrinti atsparumą kenkėjiškoms programoms.
Turinys
GRĖSMĖS KILMĖ IR KODO RYŠIAI
Analizė rodo, kad „kkRAT“ daug ką skolinasi iš nusistovėjusių programišių šeimų: jo tinklo protokolas ir kai kurios kodo struktūros primena „Gh0st RAT“ („Ghost RAT“) ir „Big Bad Wolf“ („大灰狼“) – RAT, kurį istoriškai naudojo Kinijoje įsikūrusios kibernetinių nusikaltėlių grupuotės – naudojamus protokolus. Autoriai prie glaudinimo pridėjo papildomą šifravimą, sukurdami „Ghost“ tipo ryšio kanalą su papildomu šifravimo žingsniu.
PRISTATYMO BŪDAS – NETIKRŲ ĮDIEGIMO PROGRAMŲ, TALKIAMŲ „GITHUB“ PUSLAPIUOSE
„GitHub“ puslapiuose veikėjai talpino sukčiavimo puslapius, kurie apsimetinėjo populiariomis programomis (pavyzdžiui, „DingTalk“) ir per netikrus diegimo failus pateikė tris Trojos arklius. Piktnaudžiaudami „GitHub“ reputacija, operatoriai padidino tikimybę, kad aukos pasitikės diegimo programomis ir paleis jas. Ekspertai pažymi, kad „GitHub“ paskyra, naudojama puslapiams talpinti, nebėra pasiekiama.
MONTUOTOJO ELGESYS
Paleidus netikrą diegimo programą, ji atlieka kelis patikrinimus, kad aptiktų smėlio dėžės aplinkas ir virtualias mašinas, ir bando apeiti saugos valdiklius. Ji prašo administratoriaus teisių; jei jos suteikiamos, ji išvardija ir laikinai išjungia aktyvius tinklo adapterius – ši funkcija naudojama antivirusinės programos tinklo patikrinimams trukdyti ir įprastam antivirusinės programos veikimui, kol ji tęsia pakeitimus.
ANTIAV METODAI
Kenkėjiška programa naudoja „Bring-Your-Own-Vulnerable-Driver“ (BYOVD) techniką, kad neutralizuotų galinių įrenginių apsaugas, pakartotinai panaudodama kodą iš atvirojo kodo projekto „RealBlindingEDR“. Ji konkrečiai ieško ir taikosi į šiuos vartotojų ir įmonių apsaugos paketus:
360 interneto saugumo paketas
360 Total Security
„HeroBravo“ sistemos diagnostikos paketas
„Kingsoft“ interneto saugumas
QQ电脑管家
Nutraukus atitinkamus antivirusinės programos procesus, diegimo programa sukuria suplanuotą užduotį, veikiančią su SISTEMOS teisėmis, kuri vykdo paketinį scenarijų kiekvieno vartotojo prisijungimo metu – taip užtikrindama, kad tiksliniai antivirusinės programos procesai būtų automatiškai sustabdyti kiekvieno prisijungimo metu. Kenkėjiška programa taip pat modifikuoja „Windows“ registro įrašus taip, kad išjungtų tinklo patikras, o tada, baigus modifikacijas, vėl įjungia tinklo adapterius.
NAUDINGOJO KROVINIO GRANDINĖ
Pagrindinis diegimo programos vaidmuo yra paleisti apvalkalo kodą, kuris iš užkoduoto URL adreso nuskaito ir vykdo užmaskuotą antrinį apvalkalo kodo failą pavadinimu „2025.bin“. Šis apvalkalo kodas veikia kaip atsisiuntimo programa ir nuskaito artefaktą pavadinimu „output.log“, kuris tada susisiekia su dviem URL adresais, kad atsisiųstų du ZIP archyvus:
- trx38.zip – faile yra teisėtas vykdomasis failas ir kenkėjiška DLL, kuri paleidžiama per DLL šoninį įkėlimą.
- p.zip – jame yra failas pavadinimu longlq.cl, kuriame saugoma užšifruota galutinė apkrova.
Kenkėjiška programa sukuria nuorodą į teisėtą vykdomąjį failą iš trx38.zip, įdeda šią nuorodą į vartotojo paleisties aplanką, kad ji išliktų, ir paleidžia teisėtą vykdomąjį failą, kad būtų įkelta kenkėjiška DLL. DLL iššifruoja ir vykdo galutinę longlq.cl esančią naudingąją programą. Galutinė kampanijos naudingoji programa skiriasi priklausomai nuo kampanijos egzemplioriaus; vienas patvirtintas naudingasis failas yra kkRAT.
kkRAT GALIMYBĖS (KOMANDOS, ĮPILDAI IR ELGESYS)
„kkRAT“ prisijungia prie C2 serverio per lizdą, profiliuoja užkrėstą kompiuterį ir atsisiunčia papildinius bei komandas, kurios leidžia atlikti išsamų nuotolinį valdymą ir rinkti duomenis. Stebimos jos galimybės apima:
- ekrano kopijos užfiksavimas ir vartotojo įvesties (klaviatūros ir pelės) modeliavimas
- iškarpinės turinio skaitymas ir keitimas (naudojamas kriptovaliutos adreso pakeitimui)
- įjungti nuotolinio darbalaukio funkcijas ir paleisti / nuotoliniu būdu uždaryti programas, įskaitant naršykles
- nuotolinis komandų vykdymas per interaktyvų apvalkalą
- ekrane rodomas „Windows“ valdymas ir procesų sąrašai / nutraukimas
- aktyvių tinklo ryšių išvardijimas
- įdiegtų programų sąrašo sudarymas ir pasirinktos programinės įrangos pašalinimas
- automatinio paleidimo registro reikšmių skaitymas ir automatinio paleidimo įrašų išvardijimas
- veikia kaip SOCKS5 tarpinis serveris, skirtas nukreipti srautą ir potencialiai apeiti ugniasienes ar VPN
- diegti ir diegti nuotolinio valdymo įrankius, tokius kaip „Sunlogin“ ir „GotoHTTP“
- išlikimo mechanizmai ir platus komandų rinkinys, skirtas iškviesti papildinius ir operacines funkcijas
„kkRAT“ taip pat turi iškirpimo funkciją, kuri pakeičia nukopijuotus kriptovaliutų piniginių adresus, ir procedūras, skirtas duomenims išvalyti iš įvairių naršyklių ir pranešimų siuntimo programėlių (pavyzdžiai: „360 Speed Browser“, „Google Chrome“, „Internet Explorer“, „Mozilla Firefox“, „QQ Browser“, „Sogou Explorer“ ir „Telegram“).
SANTRAUKA – KODĖL ŠI PUOLIMO KAMPANIJA YRA REIKŠMINGA
Ši kampanija pasižymi tuo, kad joje derinamas: socialinės inžinerijos platinimas per teisėtai atrodančius „GitHub“ puslapius; pažangios antianalizės ir antivirusinės technikos (smėlio dėžės / VM aptikimas, BYOVD naudojant „RealBlindingEDR“ kodą); daugiapakopis įkroviklis, naudojantis DLL šoninį įkėlimą ir užšifruotus naudingosios apkrovos konteinerius; ir pilnai funkcionali RAT (kkRAT), palaikanti tiek informacijos vagystes (iškarpinės užgrobimą, ekrano kopijų fiksavimą, duomenų nutekėjimą), tiek operacinius įrankius (nuotolinio valdymo įrankius, tarpinio serverio naudojimą). Modulinė architektūra reiškia, kad galutinę naudingąją apkrovą galima keisti, o tai padidina operatorių lankstumą ir apsunkina aptikimą bei priskyrimą.
