Programe malware kkRAT
Cercetătorii Infosec au descoperit o campanie malware activă, care vizează utilizatorii vorbitori de chineză, și care folosește un troian de acces la distanță nedocumentat anterior, numit kkRAT. Campania pare să fi funcționat de la începutul lunii mai 2025 și combină tehnici RAT familiare cu încărcătoare modulare și înșelăciune pentru a evita detectarea și a obține persistență.
Cuprins
ORIGINILE AMENINȚĂRILOR ȘI LEGĂTURILE LINIELOR DE COD
Analiza arată că kkRAT se inspiră în mare măsură din familii consacrate: protocolul său de rețea și unele structuri de cod seamănă cu cele utilizate de Gh0st RAT (Ghost RAT) și Big Bad Wolf (大灰狼), un RAT folosit în mod tradițional de grupurile infracționale cibernetice din China. Autorii au adăugat criptare suplimentară peste compresie, producând un canal de comunicații similar cu Ghost, cu un pas suplimentar de criptare.
METODĂ DE LIVRARE — INSTALATOARE FALSE GĂZDUITE PE PAGINI GITHUB
Actorii au găzduit pagini de phishing pe paginile GitHub care se dădeau drept aplicații populare (de exemplu, DingTalk) și au livrat trei troieni prin intermediul unor programe de instalare false. Abuzând de reputația GitHub, operatorii au crescut probabilitatea ca victimele să aibă încredere în programele de instalare și să le ruleze. Experții notează că contul GitHub folosit pentru găzduirea paginilor nu mai este disponibil.
COMPORTAMENTUL INSTALATORULUI
Când este executat, programul de instalare fals efectuează mai multe verificări pentru a detecta mediile sandbox și mașinile virtuale și încearcă să ocolească controalele de securitate. Solicită privilegii de administrator; dacă sunt acordate, enumeră și dezactivează temporar adaptoarele de rețea active - o capacitate utilizată pentru a interfera cu verificările de rețea antivirus și pentru a perturba funcționarea normală a antivirusului în timp ce acesta efectuează modificările.
TEHNICI ANTI-AV
Malware-ul folosește o tehnică Bring-Your-Own-Vulnerable-Driver (BYOVD) pentru a neutraliza protecțiile endpoint, reutilizând cod din proiectul open source RealBlindingEDR. Acesta caută și vizează în mod specific următoarele suite de protecție pentru consumatori și companii:
Suită de securitate Internet 360
Securitate totală 360
Suita de diagnosticare a sistemului HeroBravo
Securitate pe internet Kingsoft
QQ电脑管家
După terminarea proceselor antivirus relevante, programul de instalare creează o sarcină programată care rulează cu privilegii SYSTEM și care execută un script batch la fiecare conectare a utilizatorului — asigurându-se că procesele antivirus vizate sunt închise automat la fiecare conectare. De asemenea, malware-ul modifică intrările din Registrul Windows în moduri compatibile cu dezactivarea verificărilor de rețea, apoi reactivează adaptoarele de rețea odată ce modificările sunt finalizate.
LANȚUL DE SARCINĂ UTILĂ
Rolul principal al programului de instalare este de a rula shellcode, care preia și execută un fișier shellcode secundar ofuscat, numit „2025.bin”, dintr-o adresă URL hard-coded. Acest shellcode acționează ca un program de descărcare și preia un artefact numit „output.log”, care apoi contactează două adrese URL pentru a descărca două arhive ZIP:
- trx38.zip — conține un fișier executabil legitim plus un DLL malițios lansat prin încărcarea laterală a DLL-urilor.
- p.zip — conține un fișier numit longlq.cl care deține o sarcină utilă finală criptată.
Programul malware creează o comandă rapidă către executabilul legitim din trx38.zip, plasează comanda rapidă în folderul Startup al utilizatorului pentru persistență și rulează executabilul legitim, astfel încât să încarce lateral DLL-ul rău intenționat. DLL-ul decriptează și execută sarcina utilă finală conținută în longlq.cl. Sarcina utilă finală a campaniei variază în funcție de instanța campaniei; o sarcină utilă confirmată este kkRAT.
CAPACITĂȚILE kkRAT (COMENZI, PLUGIN-URI ȘI COMPORTAMENT)
kkRAT se conectează la un server C2 printr-un socket, profilează gazda infectată și descarcă plugin-uri și comenzi care permit controlul extins de la distanță și colectarea de date. Capacitățile sale observate includ:
- captură de ecran și simulare a comenzilor de intrare ale utilizatorului (tastatură și mouse)
- citirea și modificarea conținutului clipboard-ului (folosit pentru înlocuirea adreselor de criptomonedă)
- activarea funcționalității desktop la distanță și lansarea/închiderea de la distanță a aplicațiilor, inclusiv a browserelor
- execuția comenzilor la distanță prin intermediul unui shell interactiv
- gestionarea Windows pe ecran și listarea/terminarea proceselor
- enumerarea conexiunilor de rețea active
- listarea aplicațiilor instalate și dezinstalarea software-ului selectat
- citirea valorilor registrului de autorun și enumerarea intrărilor de autorun
- acționând ca un proxy SOCKS5 pentru a direcționa traficul și a ocoli potențial firewall-urile sau VPN-urile
- instalarea și implementarea instrumentelor de gestionare la distanță, cum ar fi Sunlogin și GotoHTTP
- mecanisme de persistență și un set larg de comenzi pentru invocarea pluginurilor și funcțiilor operaționale
kkRAT conține, de asemenea, funcționalitate de tip clipper care înlocuiește adresele copiate ale portofelului de criptomonede și rutine pentru ștergerea datelor dintr-o gamă largă de browsere și aplicații de mesagerie (exemple observate: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer și Telegram).
REZUMAT — DE CE ESTE IMPORTANTĂ CAMPANIA DE ATAC
Această campanie este remarcabilă prin combinarea: distribuției bazate pe inginerie socială prin pagini GitHub cu aspect legitim; tehnici avansate anti-analiză și anti-AV (detectare sandbox/VM, BYOVD folosind cod RealBlindingEDR); un încărcător multi-etapă care utilizează încărcarea laterală DLL și containere de payload criptate; și un RAT complet funcțional (kkRAT) care acceptă atât furtul de informații (deturnarea clipboard-ului, captura de ecran, exfiltrarea datelor), cât și instrumentele operaționale (instrumente de gestionare la distanță, proxy). Arhitectura modulară înseamnă că payload-ul final poate fi schimbat, crescând flexibilitatea pentru operatori și complicând detectarea și atribuirea.
