KkRAT मालवेयर

इन्फोसेकका अनुसन्धानकर्ताहरूले चिनियाँ भाषी प्रयोगकर्ताहरूलाई लक्षित गरी सक्रिय मालवेयर अभियान पत्ता लगाएका छन् जसले पहिले कागजात नगरिएको रिमोट एक्सेस ट्रोजन kkRAT प्रयोग गर्दछ। यो अभियान मे २०२५ को सुरुदेखि चलिरहेको देखिन्छ र पत्ता लगाउनबाट बच्न र दृढता प्राप्त गर्न मोड्युलर लोडरहरू र छलकपटसँग परिचित RAT प्रविधिहरू संयोजन गर्दछ।

खतराको उत्पत्ति र कोडलाइन लिङ्कहरू

विश्लेषणले kkRAT ले स्थापित परिवारहरूबाट धेरै उधारो लिन्छ भनेर देखाउँछ: यसको नेटवर्क प्रोटोकल र केही कोड संरचनाहरू Gh0st RAT (Ghost RAT) र Big Bad Wolf (大灰狼) द्वारा प्रयोग गरिएका जस्तै छन्, जुन ऐतिहासिक रूपमा चीन-आधारित साइबर अपराध समूहहरूले प्रयोग गर्ने RAT हो। लेखकहरूले कम्प्रेसनको माथि अतिरिक्त इन्क्रिप्शन तह लगाए, अतिरिक्त इन्क्रिप्शन चरणको साथ घोस्ट-जस्तो सञ्चार च्यानल उत्पादन गरे।

डेलिभरी विधि — गिटहब पृष्ठहरूमा नक्कली स्थापनाकर्ताहरू राखिएका छन्

अभिनेताहरूले लोकप्रिय अनुप्रयोगहरू (उदाहरणका लागि, DingTalk) को नक्कल गर्ने GitHub पृष्ठहरूमा फिसिङ पृष्ठहरू होस्ट गरे र नक्कली स्थापनाकर्ताहरू मार्फत तीन ट्रोजनहरू डेलिभर गरे। GitHub को प्रतिष्ठाको दुरुपयोग गरेर, अपरेटरहरूले पीडितहरूले स्थापनाकर्ताहरूलाई विश्वास गर्ने र चलाउने सम्भावना बढाए। विज्ञहरूले पृष्ठहरू होस्ट गर्न प्रयोग गरिएको GitHub खाता अब उपलब्ध नभएको टिप्पणी गरे।

स्थापनाकर्ता व्यवहार

कार्यान्वयन गर्दा, नक्कली स्थापनाकर्ताले स्यान्डबक्स वातावरण र भर्चुअल मेसिनहरू पत्ता लगाउन धेरै जाँचहरू गर्दछ र सुरक्षा नियन्त्रणहरू बाइपास गर्ने प्रयास गर्दछ। यसले प्रशासक विशेषाधिकारहरूको लागि प्रोम्प्ट गर्दछ; यदि प्रदान गरियो भने, यसले सक्रिय नेटवर्क एडेप्टरहरूलाई गणना गर्दछ र अस्थायी रूपमा असक्षम गर्दछ - एन्टिभाइरस नेटवर्क जाँचहरूमा हस्तक्षेप गर्न र यसको परिवर्तनहरू अगाडि बढ्दा सामान्य AV सञ्चालनलाई बाधा पुर्‍याउन प्रयोग गरिने क्षमता।

एन्टी-एभी प्रविधिहरू

मालवेयरले RealBlindingEDR खुला स्रोत परियोजनाबाट कोड पुन: प्रयोग गर्दै, अन्तिम बिन्दु सुरक्षाहरूलाई बेअसर गर्न Bring-Your-Own-Vulnerable-Driver (BYOVD) प्रविधि प्रयोग गर्दछ। यसले विशेष रूपमा यी उपभोक्ता र उद्यम सुरक्षा सुइटहरूको खोजी र लक्षित गर्दछ:

३६० इन्टरनेट सुरक्षा सुइट

३६० कुल सुरक्षा

हिरोब्राभो सिस्टम डायग्नोस्टिक्स सुइट

किंगसफ्ट इन्टरनेट सुरक्षा

QQ电脑管家

सान्दर्भिक एन्टिभाइरस प्रक्रियाहरू समाप्त गरेपछि, स्थापनाकर्ताले SYSTEM विशेषाधिकारहरूसँग चलिरहेको एक निर्धारित कार्य सिर्जना गर्दछ जसले प्रत्येक प्रयोगकर्ता लगइनमा ब्याच स्क्रिप्ट कार्यान्वयन गर्दछ - प्रत्येक लगइनमा लक्षित AV प्रक्रियाहरू स्वचालित रूपमा बन्द हुन्छन् भन्ने सुनिश्चित गर्दै। मालवेयरले नेटवर्क जाँचहरू असक्षम गर्ने तरिकाहरूसँग मिल्दोजुल्दो तरिकाले विन्डोज रजिस्ट्री प्रविष्टिहरूलाई पनि परिमार्जन गर्दछ, त्यसपछि यसको परिमार्जन पूरा भएपछि नेटवर्क एडेप्टरहरूलाई पुन: सक्षम गर्दछ।

पेलोड चेन

स्थापनाकर्ताको प्राथमिक भूमिका शेलकोड चलाउनु हो, जसले हार्ड-कोड गरिएको URL बाट '२०२५.बिन' नामक अस्पष्ट माध्यमिक शेलकोड फाइल ल्याउँछ र कार्यान्वयन गर्छ। त्यो शेलकोडले डाउनलोडरको रूपमा काम गर्छ र 'आउटपुट.लग' नामक कलाकृति पुन: प्राप्त गर्छ, जसले त्यसपछि दुई ZIP अभिलेखहरू डाउनलोड गर्न दुई URL हरूलाई सम्पर्क गर्छ:

• trx38.zip — मा एक वैध कार्यान्वयनयोग्य फाइल र DLL साइडलोडिङ मार्फत सुरु गरिएको मालिसियस DLL समावेश छ।
• p.zip — मा longlq.cl नामक फाइल हुन्छ जसमा इन्क्रिप्टेड अन्तिम पेलोड हुन्छ।

मालवेयरले trx38.zip बाट वैध कार्यान्वयनयोग्यको लागि सर्टकट सिर्जना गर्दछ, त्यो सर्टकटलाई प्रयोगकर्ताको स्टार्टअप फोल्डरमा स्थिरताको लागि राख्छ, र वैध कार्यान्वयनयोग्य चलाउँछ ताकि यसले दुर्भावनापूर्ण DLL लाई साइडलोड गर्नेछ। DLL ले longlq.cl मा समावेश अन्तिम पेलोडलाई डिक्रिप्ट र कार्यान्वयन गर्दछ। अभियानको अन्तिम पेलोड अभियान उदाहरण अनुसार फरक हुन्छ; एउटा पुष्टि गरिएको पेलोड kkRAT हो।

kkRAT क्षमताहरू (आदेश, प्लगइन र व्यवहार)

kkRAT ले सकेट मार्फत C2 सर्भरमा जडान गर्छ, संक्रमित होस्टलाई प्रोफाइल गर्छ, र प्लगइनहरू र आदेशहरू डाउनलोड गर्छ जसले व्यापक रिमोट कन्ट्रोल र डेटा सङ्कलन सक्षम गर्दछ। यसको अवलोकन गरिएका क्षमताहरूमा समावेश छन्:

• प्रयोगकर्ता इनपुट (किबोर्ड र माउस) को स्क्रिन क्याप्चर र सिमुलेशन
• क्लिपबोर्ड सामग्रीहरू पढ्ने र परिमार्जन गर्ने (क्रिप्टोकरेन्सी ठेगाना प्रतिस्थापनको लागि प्रयोग गरिने)
• रिमोट डेस्कटप कार्यक्षमता सक्षम पार्ने र ब्राउजरहरू सहित अनुप्रयोगहरू सुरु गर्ने/टाढाबाट बन्द गर्ने
• अन्तरक्रियात्मक शेल मार्फत रिमोट आदेश कार्यान्वयन
• अन-स्क्रिन विन्डोज व्यवस्थापन र प्रक्रिया सूचीकरण/समाप्ति
• सक्रिय नेटवर्क जडानहरूको गणना गर्दै
• स्थापित अनुप्रयोगहरूको सूचीकरण र चयन गरिएका सफ्टवेयरको स्थापना रद्द गर्ने
• अटोरन रजिस्ट्री मानहरू पढ्ने र अटोरन प्रविष्टिहरू गणना गर्ने
• ट्राफिक रुट गर्न र सम्भावित रूपमा फायरवाल वा VPN हरूलाई बाइपास गर्न SOCKS5 प्रोक्सीको रूपमा काम गर्दै

kkRAT मा क्लिपर कार्यक्षमता पनि समावेश छ जसले प्रतिलिपि गरिएको क्रिप्टोकरेन्सी वालेट ठेगानाहरू, र ब्राउजर र मेसेजिङ एपहरूको दायराबाट डेटा खाली गर्ने दिनचर्याहरू प्रतिस्थापन गर्दछ (उदाहरणहरू अवलोकन गरिएका छन्: ३६० स्पीड ब्राउजर, गुगल क्रोम, इन्टरनेट एक्सप्लोरर, मोजिला फायरफक्स, QQ ब्राउजर, सोगोउ एक्सप्लोरर, र टेलिग्राम)।

सारांश — आक्रमण अभियान किन महत्त्वपूर्ण छ

यो अभियान निम्न संयोजनहरूको लागि उल्लेखनीय छ: वैध देखिने GitHub पृष्ठहरू मार्फत सामाजिक-इन्जिनियरिङ वितरण; उन्नत एन्टी-विश्लेषण र एन्टी-AV प्रविधिहरू (स्यान्डबक्स/VM पत्ता लगाउने, RealBlindingEDR कोड प्रयोग गरेर BYOVD); DLL साइडलोडिङ र एन्क्रिप्टेड पेलोड कन्टेनरहरू प्रयोग गर्ने बहु-चरण लोडर; र पूर्ण रूपमा विशेष RAT (kkRAT) जसले जानकारी चोरी (क्लिपबोर्ड अपहरण, स्क्रिन क्याप्चर, डेटा एक्सफिल्ट्रेसन) र अपरेशनल टूलिङ (रिमोट व्यवस्थापन उपकरणहरू, प्रोक्सीिङ) दुवैलाई समर्थन गर्दछ। मोड्युलर वास्तुकलाको अर्थ अन्तिम पेलोड स्वैप गर्न सकिन्छ, अपरेटरहरूको लागि लचिलोपन बढाउँछ र पत्ता लगाउने र एट्रिब्युशनलाई जटिल बनाउँछ।