KkRAT Malware

Badacze z Infosec odkryli aktywną kampanię złośliwego oprogramowania skierowaną do użytkowników chińskojęzycznych, wykorzystującą wcześniej nieudokumentowanego trojana zdalnego dostępu o nazwie kkRAT. Kampania najprawdopodobniej trwa od początku maja 2025 roku i łączy znane techniki RAT z modułowymi loaderami i podstępem, aby uniknąć wykrycia i zapewnić sobie trwałość.

ŹRÓDŁA ZAGROŻEŃ I LINKI DO KODEKSÓW

Analiza pokazuje, że kkRAT w dużej mierze opiera się na sprawdzonych rodzinach: jego protokół sieciowy i niektóre struktury kodu przypominają te używane przez Gh0st RAT (Ghost RAT) i Big Bad Wolf (大灰狼), RAT-a historycznie używanego przez chińskie grupy cyberprzestępcze. Autorzy zastosowali dodatkowe szyfrowanie na kompresji, tworząc kanał komunikacyjny przypominający Ghost z dodatkowym etapem szyfrowania.

METODA DOSTARCZANIA — FAŁSZYWE INSTALATORY HOSTOWANE NA STRONACH GITHUB

Aktorzy hostowali strony phishingowe na stronach GitHub, podszywając się pod popularne aplikacje (na przykład DingTalk) i dostarczając trzy trojany za pośrednictwem fałszywych instalatorów. Wykorzystując reputację GitHub, operatorzy zwiększyli prawdopodobieństwo, że ofiary zaufają instalatorom i je uruchomią. Eksperci zauważają, że konto GitHub używane do hostowania stron jest już niedostępne.

ZACHOWANIE INSTALATORA

Po uruchomieniu, fałszywy instalator przeprowadza wielokrotne kontrole w celu wykrycia środowisk sandbox i maszyn wirtualnych, próbując ominąć zabezpieczenia. Prosi o uprawnienia administratora; jeśli zostaną przyznane, wylicza i tymczasowo wyłącza aktywne karty sieciowe — funkcja ta służy do zakłócania kontroli sieci przez program antywirusowy i normalnego działania oprogramowania antywirusowego podczas wprowadzania zmian.

TECHNIKI ANTYAV

Szkodliwe oprogramowanie wykorzystuje technikę Bring-Your-Own-Vulnerable-Driver (BYOVD) do neutralizowania zabezpieczeń punktów końcowych, wykorzystując kod z projektu open source RealBlindingEDR. Wyszukuje ono i atakuje następujące pakiety zabezpieczeń dla użytkowników indywidualnych i przedsiębiorstw:

Pakiet 360 Internet Security

360 Całkowite Bezpieczeństwo

Zestaw narzędzi do diagnostyki systemu HeroBravo

Kingsoft Internet Security

QQ电脑管家

Po zakończeniu odpowiednich procesów antywirusowych instalator tworzy zaplanowane zadanie uruchamiane z uprawnieniami SYSTEM, które uruchamia skrypt wsadowy przy każdym logowaniu użytkownika, zapewniając automatyczne zamykanie procesów antywirusowych przy każdym logowaniu. Szkodliwe oprogramowanie modyfikuje również wpisy w rejestrze systemu Windows w sposób porównywalny z wyłączaniem kontroli sieci, a następnie ponownie włącza karty sieciowe po zakończeniu modyfikacji.

ŁAŃCUCH ŁADUNKU

Podstawową rolą instalatora jest uruchomienie kodu powłoki, który pobiera i uruchamia zaciemniony plik kodu powłoki o nazwie „2025.bin” z zakodowanego na stałe adresu URL. Ten kod powłoki działa jako program pobierający i pobiera artefakt o nazwie „output.log”, który następnie łączy się z dwoma adresami URL w celu pobrania dwóch archiwów ZIP:

• trx38.zip — zawiera prawidłowy plik wykonywalny oraz złośliwą bibliotekę DLL uruchamianą za pomocą bocznego ładowania bibliotek DLL.
• p.zip — zawiera plik o nazwie longlq.cl, który przechowuje zaszyfrowany ostateczny ładunek.

Szkodliwe oprogramowanie tworzy skrót do legalnego pliku wykonywalnego z pliku trx38.zip, umieszcza go w folderze Autostart użytkownika, aby zapewnić jego trwałość, i uruchamia legalny plik wykonywalny, aby załadować złośliwą bibliotekę DLL. Biblioteka DLL odszyfrowuje i wykonuje ostateczny ładunek zawarty w pliku longlq.cl. Ostateczny ładunek kampanii różni się w zależności od instancji kampanii; jednym z potwierdzonych ładunków jest kkRAT.

MOŻLIWOŚCI kkRAT (POLECENIA, WTYCZKI I ZACHOWANIE)

kkRAT łączy się z serwerem C2 przez gniazdo, profiluje zainfekowanego hosta i pobiera wtyczki oraz polecenia, które umożliwiają rozległą zdalną kontrolę i gromadzenie danych. Jego obserwowane możliwości obejmują:

• zrzut ekranu i symulacja danych wprowadzanych przez użytkownika (klawiatura i mysz)
• odczytywanie i modyfikowanie zawartości schowka (używane do zastępowania adresów kryptowalut)
• włączanie funkcji pulpitu zdalnego i zdalne uruchamianie/zamykanie aplikacji, w tym przeglądarek
• zdalne wykonywanie poleceń za pośrednictwem powłoki interaktywnej
• zarządzanie systemem Windows na ekranie i wyświetlanie list/zakończenie procesów
• wyliczanie aktywnych połączeń sieciowych
• wyświetlanie zainstalowanych aplikacji i odinstalowywanie wybranego oprogramowania
• odczytywanie wartości rejestru automatycznego uruchamiania i wyliczanie wpisów automatycznego uruchamiania
• pełniąc funkcję serwera proxy SOCKS5 w celu kierowania ruchem i potencjalnego omijania zapór sieciowych lub sieci VPN

kkRAT zawiera również funkcjonalność clippera, która zastępuje skopiowane adresy portfeli kryptowalutowych, a także procedury czyszczące dane z różnych przeglądarek i aplikacji do przesyłania wiadomości (przykłady: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer i Telegram).

PODSUMOWANIE — DLACZEGO KAMPANIA ATAKOWA JEST ZNACZĄCA

Ta kampania wyróżnia się połączeniem: dystrybucji socjotechnicznej za pośrednictwem stron GitHub, które wyglądają na legalne; zaawansowanych technik anty-analitycznych i anty-AV (wykrywanie sandboxów/maszyn wirtualnych, BYOVD z wykorzystaniem kodu RealBlindingEDR); wieloetapowego programu ładującego wykorzystującego boczne ładowanie bibliotek DLL i kontenery z zaszyfrowanym ładunkiem; oraz w pełni funkcjonalnego narzędzia RAT (kkRAT), które obsługuje zarówno kradzież informacji (przechwytywanie schowka, przechwytywanie ekranu, eksfiltrację danych), jak i narzędzia operacyjne (narzędzia do zdalnego zarządzania, proxy). Modułowa architektura umożliwia podmianę końcowego ładunku, co zwiększa elastyczność operatorów i komplikuje wykrywanie i atrybucję.