Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare KkRAT-skadevare

KkRAT-skadevare

Med Mezo i Skadelig programvare, Fjernadministrasjonsverktøy
Oversett til:

Infosec-forskere har avdekket en aktiv skadevarekampanje rettet mot kinesisktalende brukere som bruker en tidligere udokumentert fjerntilgangstrojaner kalt kkRAT. Kampanjen ser ut til å ha kjørt siden tidlig i mai 2025 og kombinerer kjente RAT-teknikker med modulære lastere og bedrag for å unngå oppdagelse og oppnå persistens.

TRUSSELENS OPPRUNNELSE OG KODELINJEKOBLINGER

Analyser viser at kkRAT låner mye fra etablerte familier: nettverksprotokollen og noen kodestrukturer ligner de som brukes av Gh0st RAT (Ghost RAT) og Big Bad Wolf (大灰狼), en RAT som historisk sett ble brukt av nettkriminelle grupper basert i Kina. Forfatterne la ekstra kryptering oppå kompresjon, noe som produserte en Ghost-lignende kommunikasjonskanal med et ekstra krypteringstrinn.

LEVERINGSMETODE — FALSKE INSTALLATØRPROGRAMMER PÅ GITHUB-SIDER

Aktører var vertskap for phishing-sider på GitHub Pages som utga seg for å være populære applikasjoner (for eksempel DingTalk) og leverte tre trojanere via falske installasjonsprogrammer. Ved å misbruke GitHubs omdømme økte operatørene sannsynligheten for at ofrene ville stole på og kjøre installasjonsprogrammene. Eksperter bemerker at GitHub-kontoen som ble brukt til å være vert for sidene ikke lenger er tilgjengelig.

INSTALLATØRENS ATFERD

Når den kjøres, utfører det falske installasjonsprogrammet flere kontroller for å oppdage sandkassemiljøer og virtuelle maskiner, og prøver å omgå sikkerhetskontroller. Det ber om administratorrettigheter. Hvis de gis, lister det opp og deaktiverer midlertidig aktive nettverkskort – en funksjon som brukes til å forstyrre antivirusnettverkskontroller og forstyrre normal antivirusdrift mens det fortsetter med endringene.

ANTI-AV-TEKNIKKER

Skadevaren bruker en BYOVD-teknikk (Bring-Your-Own-Vulnerable-Driver) for å nøytralisere endepunktbeskyttelse, ved å gjenbruke kode fra åpen kildekode-prosjektet RealBlindingEDR. Den søker spesifikt etter og målretter seg mot disse forbruker- og bedriftsbeskyttelsespakkene:

360 Internett-sikkerhetspakke

360 Total Sikkerhet

HeroBravo System Diagnostics-pakke

Kingsoft Internettsikkerhet

QQ电脑管家

Etter å ha avsluttet relevante antivirusprosesser, oppretter installasjonsprogrammet en planlagt oppgave som kjører med SYSTEM-rettigheter, og som kjører et batchskript ved hver brukerpålogging – og sikrer dermed at de målrettede antivirusprosessene automatisk avsluttes ved hver pålogging. Skadevaren endrer også Windows-registeroppføringer på måter som er i samsvar med deaktivering av nettverkskontroller, og aktiverer deretter nettverkskort på nytt når endringene er fullført.

NYTTELASTKJETTING

Installasjonsprogrammets primære rolle er å kjøre shellcode, som henter og kjører en obfuskert sekundær shellcode-fil kalt «2025.bin» fra en hardkodet URL. Denne shellcode-filen fungerer som en nedlaster og henter en artefakt kalt «output.log», som deretter kontakter to URL-er for å laste ned to ZIP-arkiver:

  • trx38.zip – inneholder en legitim kjørbar fil pluss en ondsinnet DLL som startes via DLL-sidelasting.
  • p.zip — inneholder en fil kalt longlq.cl som inneholder en kryptert endelig nyttelast.

Skadevaren oppretter en snarvei til den legitime kjørbare filen fra trx38.zip, plasserer snarveien i brukerens oppstartsmappe for bevaring, og kjører den legitime kjørbare filen slik at den vil sidelaste den skadelige DLL-en. DLL-en dekrypterer og kjører den endelige nyttelasten i longlq.cl. Kampanjens endelige nyttelast varierer fra kampanjeinstans til kampanje; én bekreftet nyttelast er kkRAT.

kkRAT-FUNKTIONER (KOMMANDOER, PLUGINER OG ATFERD)

kkRAT kobler seg til en C2-server over en socket, profilerer den infiserte verten og laster ned programtillegg og kommandoer som muliggjør omfattende fjernkontroll og datainnsamling. De observerte egenskapene inkluderer:

  • skjermbilde og simulering av brukerinput (tastatur og mus)
  • lese og endre innhold i utklippstavlen (brukes til erstatning av kryptovalutaadresse)
  • aktivere eksternt skrivebordsfunksjonalitet og starte/lukke applikasjoner eksternt, inkludert nettlesere
  • fjernutførelse av kommandoer via et interaktivt skall
  • Windows-administrasjon på skjermen og prosesslister/avslutning
  • opplisting av aktive nettverkstilkoblinger
  • liste opp installerte applikasjoner og avinstallere valgt programvare
  • lese autorun-registerverdier og liste opp autorun-oppføringer
  • fungerer som en SOCKS5-proxy for å rute trafikk og potensielt omgå brannmurer eller VPN-er
  • installere og distribuere verktøy for fjernadministrasjon som Sunlogin og GotoHTTP
  • persistensmekanismer og et bredt sett med kommandoer for å aktivere plugins og driftsfunksjoner

kkRAT inneholder også klippefunksjonalitet som erstatter kopierte adresser til kryptovaluta-lommebøker, og rutiner for å slette data fra en rekke nettlesere og meldingsapper (eksempler observert: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer og Telegram).

SAMMENDRAG – HVORFOR ANGREPSKAMPANJEN ER BETYDELIG

Denne kampanjen er kjent for å kombinere: sosial manipulering av distribusjon gjennom legitime GitHub-sider; avanserte anti-analyse- og anti-AV-teknikker (sandkasse-/VM-deteksjon, BYOVD ved bruk av RealBlindingEDR-kode); en flertrinnslaster som bruker DLL-sidelasting og krypterte nyttelastcontainere; og en fullverdig RAT (kkRAT) som støtter både informasjonstyveri (kapring av utklippstavle, skjermdumping, datautfiltrering) og driftsverktøy (fjernstyringsverktøy, proxy). Den modulære arkitekturen betyr at den endelige nyttelasten kan byttes, noe som øker fleksibiliteten for operatørene og kompliserer deteksjon og attribusjon.

Trender

Mest sett

Laster inn...