KkRAT ļaunprogrammatūra

Informācijas drošības pētnieki ir atklājuši aktīvu ļaunprogrammatūras kampaņu, kas vērsta pret ķīniešu valodā runājošiem lietotājiem un izmanto iepriekš nedokumentētu attālās piekļuves Trojas zirgu ar nosaukumu kkRAT. Šķiet, ka kampaņa darbojas kopš 2025. gada maija sākuma un apvieno pazīstamas RAT metodes ar modulāriem ielādētājiem un maldināšanu, lai izvairītos no atklāšanas un panāktu noturību.

APDRAUDĒJUMA IZCELSMES UN KODLĪNIJU SAITES

Analīze liecina, ka kkRAT lielā mērā aizguvis no jau iedibinātām šifrēšanas saimēm: tā tīkla protokols un dažas koda struktūras atgādina Gh0st RAT (Ghost RAT) un Big Bad Wolf (大灰狼) izmantotās, ko vēsturiski izmantoja Ķīnā bāzētas kibernoziedznieku grupas. Autori papildus saspiešanai pievienoja papildu šifrēšanu, izveidojot Ghost līdzīgu sakaru kanālu ar papildu šifrēšanas soli.

PIEGĀDES METODE — VILTOTI INSTALĒTĀJI, KAS MITINĀTI GITHUB LAPĀS

GitHub lapās dalībnieki mitināja pikšķerēšanas lapas, kas atdarināja populāras lietotnes (piemēram, DingTalk), un ar viltotu instalētāju palīdzību piegādāja trīs Trojas zirgus. Ļaunprātīgi izmantojot GitHub reputāciju, operatori palielināja iespējamību, ka upuri uzticēsies instalētājiem un tos palaidīs. Eksperti norāda, ka GitHub konts, kas tika izmantots lapu mitināšanai, vairs nav pieejams.

UZSTĀDĪTĀJA DARBĪBA

Izpildot viltus instalētāju, tas veic vairākas pārbaudes, lai noteiktu smilškastes vides un virtuālās mašīnas, un mēģina apiet drošības kontroles. Tas pieprasa administratora privilēģijas; ja tās tiek piešķirtas, tas uzskaita un īslaicīgi atspējo aktīvos tīkla adapterus — šī funkcija tiek izmantota, lai traucētu pretvīrusu tīkla pārbaudes un pārtrauktu normālu pretvīrusu darbību, kamēr tas turpina veikt izmaiņas.

ANTIAV METODES

Ļaunprogrammatūra izmanto Bring-Your-Own-Vulnerable-Driver (BYOVD) metodi, lai neitralizētu galapunktu aizsardzību, atkārtoti izmantojot kodu no atvērtā pirmkoda projekta RealBlindingEDR. Tā īpaši meklē un ir vērsta uz šādiem patērētāju un uzņēmumu aizsardzības komplektiem:

360 interneta drošības komplekts

360 pilnīga drošība

HeroBravo sistēmas diagnostikas komplekts

Kingsoft interneta drošība

QQ电脑管家

Pēc attiecīgo pretvīrusu procesu pārtraukšanas instalētājs izveido ieplānotu uzdevumu, kas darbojas ar SISTĒMAS privilēģijām un izpilda pakešskriptu katrā lietotāja pieteikšanās reizē, nodrošinot, ka mērķa pretvīrusu procesi tiek automātiski pārtraukti katrā pieteikšanās reizē. Ļaunprogramma arī modificē Windows reģistra ierakstus veidos, kas atbilst tīkla pārbaužu atspējošanai, un pēc tam atkārtoti iespējo tīkla adapterus, kad modifikācijas ir pabeigtas.

LIETDERĪGĀS KRAVAS ĶĒDE

Instalētāja galvenais uzdevums ir palaist apvalkkodu, kas no cietkodēta URL ielādē un izpilda apslēptu sekundārā apvalkkoda failu ar nosaukumu “2025.bin”. Šis apvalkkods darbojas kā lejupielādētājs un izgūst artefaktu ar nosaukumu “output.log”, kas pēc tam sazinās ar diviem URL, lai lejupielādētu divus ZIP arhīvus:

• trx38.zip — satur likumīgu izpildāmo failu, kā arī ļaunprātīgu DLL failu, kas tiek palaists, izmantojot DLL sānielādi.
• p.zip — satur failu ar nosaukumu longlq.cl, kurā ir šifrēta galīgā vērtuma informācija.

Ļaunprogrammatūra izveido saīsni uz likumīgu izpildāmo failu no trx38.zip, ievieto šo saīsni lietotāja startēšanas mapē, lai tā saglabātu savu darbību, un palaiž likumīgo izpildāmo failu, lai tas sānielādētu ļaunprātīgo DLL. DLL atšifrē un izpilda galīgo vērtumu, kas ietverts longlq.cl. Kampaņas galīgais vērtums atšķiras atkarībā no kampaņas instances; viena apstiprināta vērtuma slodze ir kkRAT.

kkRAT IESPĒJAS (KOMANDAS, SPRAUDŅI UN DARBĪBA)

kkRAT izveido savienojumu ar C2 serveri, izmantojot ligzdu, izveido inficētā resursdatora profilu un lejupielādē spraudņus un komandas, kas nodrošina plašu attālo kontroli un datu vākšanu. Tā novērotās iespējas ietver:

• ekrāna uzņemšana un lietotāja ievades simulācija (tastatūra un pele)
• starpliktuves satura lasīšana un modificēšana (izmanto kriptovalūtas adreses aizstāšanai)
• attālās darbvirsmas funkcionalitātes iespējošana un lietojumprogrammu, tostarp pārlūkprogrammu, palaišana/attālināta aizvēršana
• attālināta komandu izpilde, izmantojot interaktīvu apvalku
• ekrānā redzamā Windows pārvaldība un procesu saraksti/pārtraukšana
• aktīvo tīkla savienojumu uzskaitīšana
• instalēto lietojumprogrammu saraksta izveide un atlasītās programmatūras atinstalēšana
• automātiskās palaišanas reģistra vērtību lasīšana un automātiskās palaišanas ierakstu uzskaitīšana
• darbojoties kā SOCKS5 starpniekserveris datplūsmas maršrutēšanai un, iespējams, ugunsmūru vai VPN apiešanai

• attālās pārvaldības rīku, piemēram, Sunlogin un GotoHTTP, instalēšana un izvietošana

• noturības mehānismi un plašs komandu kopums spraudņu un darbības funkciju izsaukšanai

kkRAT satur arī apgriešanas funkcionalitāti, kas aizstāj kopētās kriptovalūtas maku adreses, un rutīnas datu dzēšanai no dažādām pārlūkprogrammām un ziņojumapmaiņas lietotnēm (piemēri: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer un Telegram).

KOPSAVILKUMS — KĀPĒC UZBRUKUMA KAMPAŅA IR NOZĪMĪGA

Šī kampaņa ir ievērojama ar to, ka tajā tiek apvienota: sociālās inženierijas izplatīšana, izmantojot likumīgi izskatīgas GitHub lapas; uzlabotas pretanalīzes un pretvīrusu metodes (smilškastes/VM noteikšana, BYOVD, izmantojot RealBlindingEDR kodu); daudzpakāpju ielādētājs, kas izmanto DLL sānielādi un šifrētus vērtuma konteinerus; un pilnvērtīgs RAT (kkRAT), kas atbalsta gan informācijas zādzības (starpliktuves nolaupīšana, ekrāna uzņemšana, datu eksfiltrācija), gan darbības rīkus (attālās pārvaldības rīki, starpniekservera izmantošana). Modulārā arhitektūra nozīmē, ka galīgo vērtumu var mainīt, palielinot operatoru elastību un sarežģot noteikšanu un attiecināšanu.