Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad KkRAT Perisian Hasad

KkRAT Perisian Hasad

Menjelang Mezo pada perisian hasad, Alat Pentadbiran Jauh
Terjemahkan ke

Penyelidik Infosec telah menemui kempen perisian hasad aktif yang ditujukan kepada pengguna berbahasa Cina yang menggunakan trojan akses jauh tanpa dokumen sebelum ini yang digelar kkRAT. Kempen ini nampaknya telah berjalan sejak awal Mei 2025 dan menggabungkan teknik RAT biasa dengan pemuat modular dan penipuan untuk mengelakkan pengesanan dan mencapai kegigihan.

ASAL-USUL ANCAMAN DAN PAUTAN TALIAN KOD

Analisis menunjukkan kkRAT banyak meminjam daripada keluarga sedia ada: protokol rangkaiannya dan beberapa struktur kod menyerupai yang digunakan oleh Gh0st RAT (Ghost RAT) dan Big Bad Wolf (大灰狼), RAT yang digunakan secara sejarah oleh kumpulan penjenayah siber yang berpangkalan di China. Pengarang melapiskan penyulitan tambahan di atas pemampatan, menghasilkan saluran komunikasi seperti Hantu dengan langkah penyulitan tambahan.

KAEDAH PENGHANTARAN — PEMASANG PALSU DIHOS DI HALAMAN GITHUB

Pelakon mengehos halaman pancingan data pada Halaman GitHub yang menyamar sebagai aplikasi popular (contohnya, DingTalk) dan menghantar tiga trojan melalui pemasang palsu. Dengan menyalahgunakan reputasi GitHub, pengendali meningkatkan kemungkinan mangsa akan mempercayai dan menjalankan pemasang. Pakar ambil perhatian bahawa akaun GitHub yang digunakan untuk mengehoskan halaman tidak lagi tersedia.

TINGKAH LAKU PEMASANG

Apabila dilaksanakan, pemasang palsu melakukan beberapa semakan untuk mengesan persekitaran kotak pasir dan mesin maya serta cuba memintas kawalan keselamatan. Ia menggesa untuk keistimewaan pentadbir; jika diberikan, ia menghitung dan melumpuhkan buat sementara waktu penyesuai rangkaian — keupayaan yang digunakan untuk mengganggu pemeriksaan rangkaian antivirus dan untuk mengganggu operasi AV biasa semasa ia meneruskan perubahannya.

TEKNIK ANTI-AV

Malware menggunakan teknik Bring-Your-Own-Vulnerable-Driver (BYOVD) untuk meneutralkan perlindungan titik akhir, menggunakan semula kod daripada projek sumber terbuka RealBlindingEDR. Ia secara khusus mencari dan menyasarkan suite perlindungan pengguna dan perusahaan ini:

Suite 360 Internet Security

360 Keselamatan Keseluruhan

Suite Diagnostik Sistem HeroBravo

Keselamatan Internet Kingsoft

QQ电脑管家

Selepas menamatkan proses antivirus yang berkaitan, pemasang mencipta tugas berjadual berjalan dengan keistimewaan SYSTEM yang melaksanakan skrip kelompok pada setiap log masuk pengguna — memastikan proses AV yang disasarkan dimatikan secara automatik pada setiap log masuk. Perisian hasad juga mengubah suai entri Windows Registry dengan cara yang konsisten dengan melumpuhkan semakan rangkaian, kemudian mendayakan semula penyesuai rangkaian setelah pengubahsuaiannya selesai.

RANTAI GAJI

Peranan utama pemasang adalah untuk menjalankan shellcode, yang mengambil dan melaksanakan fail shellcode sekunder yang dikelirukan bernama '2025.bin' daripada URL berkod keras. Kod shell itu bertindak sebagai pemuat turun dan mendapatkan semula artifak bernama 'output.log,' yang kemudiannya menghubungi dua URL untuk memuat turun dua arkib ZIP:

  • trx38.zip — mengandungi boleh laku yang sah serta DLL berniat jahat yang dilancarkan melalui pemuatan sisi DLL.
  • p.zip — mengandungi fail bernama longlq.cl yang menyimpan muatan akhir yang disulitkan.

Perisian hasad mencipta pintasan kepada boleh laku yang sah daripada trx38.zip, meletakkan pintasan itu dalam folder Permulaan pengguna untuk kegigihan dan menjalankan boleh laku yang sah supaya ia akan mengenepikan DLL berniat jahat. DLL menyahsulit dan melaksanakan muatan akhir yang terkandung dalam longlq.cl. Muatan akhir kempen berbeza mengikut contoh kempen; satu muatan yang disahkan ialah kkRAT.

KEUPAYAAN kkRAT (PERINTAH, PLUGIN DAN TINGKAH LAKU)

kkRAT menyambung ke pelayan C2 melalui soket, memprofilkan hos yang dijangkiti dan memuat turun pemalam dan arahan yang membolehkan kawalan jauh dan pengumpulan data yang meluas. Keupayaan yang diperhatikan termasuk:

  • tangkapan skrin dan simulasi input pengguna (papan kekunci dan tetikus)
  • membaca dan mengubah suai kandungan papan keratan (digunakan untuk penggantian alamat mata wang kripto)
  • membolehkan kefungsian desktop jauh dan melancarkan/menutup aplikasi dari jauh, termasuk penyemak imbas
  • pelaksanaan arahan jauh melalui shell interaktif
  • pengurusan Windows pada skrin dan penyenaraian proses/penamatan
  • menghitung sambungan rangkaian aktif
  • menyenaraikan aplikasi yang dipasang dan menyahpasang perisian terpilih
  • membaca nilai Registry autorun dan menghitung entri autorun
  • bertindak sebagai proksi SOCKS5 untuk menghalakan trafik dan berpotensi memintas tembok api atau VPN
  • memasang dan menggunakan alat pengurusan jauh seperti Sunlogin dan GotoHTTP
  • mekanisme kegigihan dan set perintah yang luas untuk menggunakan pemalam dan fungsi operasi

kkRAT juga mengandungi fungsi penggunting yang menggantikan alamat dompet mata wang kripto yang disalin dan rutin untuk mengosongkan data daripada pelbagai penyemak imbas dan apl pemesejan (contoh diperhatikan: Pelayar 360 Kelajuan, Google Chrome, Internet Explorer, Mozilla Firefox, Pelayar QQ, Sogou Explorer dan Telegram).

RINGKASAN — MENGAPA KEMPEN SERANGAN ITU PENTING

Kempen ini terkenal kerana menggabungkan: pengedaran kejuruteraan sosial melalui Halaman GitHub yang kelihatan sah; teknik anti-analisis dan anti-AV lanjutan (pengesanan kotak pasir/VM, BYOVD menggunakan kod RealBlindingEDR); pemuat berbilang peringkat yang menggunakan muatan sisi DLL dan bekas muatan yang disulitkan; dan RAT (kkRAT) yang ditampilkan sepenuhnya yang menyokong kedua-dua kecurian maklumat (perampasan papan klip, tangkapan skrin, exfiltration data) dan alatan operasi (alat pengurusan jauh, proksi). Seni bina modular bermakna muatan akhir boleh ditukar, meningkatkan fleksibiliti untuk pengendali dan merumitkan pengesanan dan atribusi.

Trending

Paling banyak dilihat

Memuatkan...