KkRAT-malware
Infosec-onderzoekers hebben een actieve malwarecampagne ontdekt die gericht is op Chineestalige gebruikers en die gebruikmaakt van een eerder niet-gedocumenteerde trojan voor externe toegang, genaamd kkRAT. De campagne lijkt al sinds begin mei 2025 actief te zijn en combineert bekende RAT-technieken met modulaire loaders en misleiding om detectie te omzeilen en persistentie te bereiken.
Inhoudsopgave
BEDREIGINGSOORSPRONG EN CODELINE-LINKS
Uit analyse blijkt dat kkRAT veel leent van gevestigde families: het netwerkprotocol en sommige codestructuren lijken op die van Gh0st RAT (Ghost RAT) en Big Bad Wolf (大灰狼), een RAT die historisch gezien werd gebruikt door cybercriminele groepen in China. De auteurs hebben extra encryptie bovenop compressie toegevoegd, wat resulteerde in een Ghost-achtig communicatiekanaal met een extra encryptiestap.
LEVERINGSMETHODE — VALSE INSTALLATIEPROGRAMMA'S GEHOST OP GITHUB-PAGINA'S
De hackers hostten phishingpagina's op GitHub Pages die populaire applicaties (zoals DingTalk) imiteerden en verspreidden drie trojans via nep-installatieprogramma's. Door de reputatie van GitHub te misbruiken, vergrootten de beheerders de kans dat slachtoffers de installatieprogramma's zouden vertrouwen en uitvoeren. Deskundigen merken op dat het GitHub-account dat gebruikt werd om de pagina's te hosten, niet langer beschikbaar is.
GEDRAG VAN DE INSTALLATEUR
Wanneer het nep-installatieprogramma wordt uitgevoerd, voert het meerdere controles uit om sandbox-omgevingen en virtuele machines te detecteren en probeert het beveiligingsmaatregelen te omzeilen. Het vraagt om beheerdersrechten; indien toegekend, inventariseert en schakelt het tijdelijk actieve netwerkadapters uit – een functie die wordt gebruikt om netwerkcontroles van antivirusprogramma's te verstoren en de normale werking van antivirusprogramma's te verstoren terwijl het de wijzigingen doorvoert.
ANTI-AV-TECHNIEKEN
De malware maakt gebruik van een Bring-Your-Own-Vulnerable-Driver (BYOVD)-techniek om endpointbeveiliging te neutraliseren en hergebruikt code van het open-sourceproject RealBlindingEDR. Het zoekt specifiek naar en richt zich op de volgende beschermingspakketten voor consumenten en bedrijven:
360 Internet Security-suite
360 Total Security
HeroBravo Systeemdiagnosesuite
Kingsoft Internet Security
QQ producten
Na het beëindigen van de relevante antivirusprocessen, maakt het installatieprogramma een geplande taak aan met SYSTEM-rechten die een batchscript uitvoert bij elke gebruikersaanmelding. Dit zorgt ervoor dat de beoogde antivirusprocessen bij elke aanmelding automatisch worden beëindigd. De malware wijzigt ook Windows-registervermeldingen op een manier die consistent is met het uitschakelen van netwerkcontroles, en schakelt vervolgens netwerkadapters weer in zodra de wijzigingen zijn voltooid.
LAADKETEN
De primaire rol van het installatieprogramma is het uitvoeren van shellcode, die een gemaskeerd secundair shellcodebestand met de naam '2025.bin' ophaalt en uitvoert vanaf een hardgecodeerde URL. Die shellcode fungeert als downloader en haalt een artefact met de naam 'output.log' op, dat vervolgens twee URL's verbindt om twee ZIP-archieven te downloaden:
- trx38.zip — bevat een legitiem uitvoerbaar bestand plus een schadelijke DLL die wordt gestart via DLL-sideloading.
- p.zip — bevat een bestand met de naam longlq.cl dat een gecodeerde uiteindelijke payload bevat.
De malware maakt een snelkoppeling naar het legitieme uitvoerbare bestand van trx38.zip, plaatst die snelkoppeling in de opstartmap van de gebruiker voor persistentie en voert het legitieme uitvoerbare bestand uit om de schadelijke DLL te sideloaden. De DLL decodeert en voert de uiteindelijke payload in longlq.cl uit. De uiteindelijke payload van de campagne verschilt per campagne-instantie; één bevestigde payload is kkRAT.
kkRAT-MOGELIJKHEDEN (OPDRACHTEN, PLUG-INS EN GEDRAG)
kkRAT maakt verbinding met een C2-server via een socket, maakt een profiel van de geïnfecteerde host en downloadt plug-ins en opdrachten die uitgebreide controle op afstand en gegevensverzameling mogelijk maken. De waargenomen mogelijkheden omvatten:
- schermopname en simulatie van gebruikersinvoer (toetsenbord en muis)
- het lezen en wijzigen van de inhoud van het klembord (gebruikt voor het vervangen van cryptocurrency-adressen)
- het mogelijk maken van de functionaliteit van een extern bureaublad en het starten/op afstand sluiten van applicaties, inclusief browsers
- uitvoering van opdrachten op afstand via een interactieve shell
- Windows-beheer en proceslijsten/beëindiging op het scherm
- het opsommen van actieve netwerkverbindingen
- een lijst maken van geïnstalleerde applicaties en geselecteerde software verwijderen
- het lezen van autorun-registerwaarden en het opsommen van autorun-vermeldingen
- fungeert als een SOCKS5-proxy om verkeer te routeren en mogelijk firewalls of VPN's te omzeilen
kkRAT bevat ook clipperfunctionaliteit die gekopieerde adressen van cryptovaluta-wallets vervangt, en routines om gegevens uit diverse browsers en berichten-apps te wissen (geobserveerde voorbeelden: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer en Telegram).
SAMENVATTING — WAAROM DE AANVALSCAMPAGNE BELANGRIJK IS
Deze campagne is opmerkelijk vanwege de combinatie van: social-engineeringdistributie via legitiem ogende GitHub-pagina's; geavanceerde anti-analyse- en anti-AV-technieken (sandbox-/VM-detectie, BYOVD met RealBlindingEDR-code); een multi-stage loader die gebruikmaakt van DLL-sideloading en versleutelde payloadcontainers; en een volledig functionele RAT (kkRAT) die zowel informatiediefstal (klembordkaping, schermopname, data-exfiltratie) als operationele tooling (tools voor beheer op afstand, proxying) ondersteunt. De modulaire architectuur maakt het mogelijk om de uiteindelijke payload te verwisselen, wat de flexibiliteit voor operators vergroot en detectie en attributie bemoeilijkt.
