Вредоносное ПО kkRAT
Исследователи Infosec обнаружили активную вредоносную кампанию, нацеленную на пользователей, говорящих по-китайски. В ней используется ранее недокументированный троян удалённого доступа, получивший название kkRAT. По всей видимости, кампания действует с начала мая 2025 года и сочетает в себе известные методы RAT с модульными загрузчиками и обманными методами для обхода обнаружения и достижения устойчивости.
Оглавление
Источники угроз и ссылки на коды
Анализ показывает, что kkRAT во многом заимствует элементы из известных семейств: его сетевой протокол и некоторые структуры кода напоминают используемые Gh0st RAT (Ghost RAT) и Big Bad Wolf (大灰狼), RAT, исторически применявшийся китайскими киберпреступными группировками. Авторы добавили дополнительное шифрование поверх сжатия, создав канал связи, подобный Ghost, с дополнительным уровнем шифрования.
СПОСОБ ДОСТАВКИ — ПОДДЕЛЬНЫЕ УСТАНОВЩИКИ, РАЗМЕЩЕННЫЕ НА СТРАНИЦАХ GITHUB
Злоумышленники размещали на GitHub Pages фишинговые страницы, выдававшие себя за популярные приложения (например, DingTalk), и распространяли три трояна через поддельные установщики. Злоупотребляя репутацией GitHub, злоумышленники повысили вероятность того, что жертвы будут доверять установщикам и запускать их. Эксперты отмечают, что учётная запись GitHub, использовавшаяся для размещения этих страниц, больше недоступна.
ПОВЕДЕНИЕ УСТАНОВЩИКА
При запуске поддельный установщик выполняет множество проверок для обнаружения изолированных сред и виртуальных машин, пытаясь обойти средства безопасности. Он запрашивает права администратора; если они предоставлены, он перечисляет и временно отключает активные сетевые адаптеры — эта возможность используется для вмешательства в антивирусные проверки сети и нарушения нормальной работы антивируса, пока он продолжает вносить изменения.
АНТИ-АВ МЕТОДЫ
Вредоносное ПО использует технику BYOVD (Bring-Your-Own-Vulnerable-Driver) для нейтрализации защиты конечных точек, повторно используя код из проекта с открытым исходным кодом RealBlindingEDR. В частности, оно ищет и атакует следующие потребительские и корпоративные пакеты защиты:
Пакет 360 Internet Security
360 Полная безопасность
Пакет диагностики системы HeroBravo
Kingsoft Internet Security
Вопрос QQ
После завершения соответствующих антивирусных процессов установщик создаёт запланированную задачу с правами SYSTEM, которая выполняет пакетный скрипт при каждом входе пользователя в систему, обеспечивая автоматическое завершение целевых антивирусных процессов при каждом входе в систему. Вредоносная программа также изменяет записи реестра Windows способами, соответствующими отключению сетевых проверок, а затем снова включает сетевые адаптеры после завершения изменений.
ЦЕПЬ ПОЛЕЗНОЙ НАГРУЗКИ
Основная задача установщика — запустить шелл-код, который извлекает и выполняет обфусцированный файл вторичного шелл-кода с именем «2025.bin» из жёстко заданного URL-адреса. Этот шелл-код действует как загрузчик и извлекает артефакт с именем «output.log», который затем обращается к двум URL-адресам для загрузки двух ZIP-архивов:
- trx38.zip — содержит легитимный исполняемый файл и вредоносную DLL-библиотеку, которая запускается посредством загрузки DLL-библиотеки.
- p.zip — содержит файл с именем longlq.cl, в котором хранится зашифрованная финальная полезная нагрузка.
Вредоносная программа создаёт ярлык легитимного исполняемого файла из архива trx38.zip, помещает его в папку «Автозагрузка» пользователя для сохранения и запускает легитимный исполняемый файл, загружая вредоносную DLL-библиотеку. DLL-библиотека расшифровывает и выполняет финальную полезную нагрузку, содержащуюся в файле longlq.cl. Финальная полезная нагрузка кампании различается в зависимости от её экземпляра; подтверждённая полезная нагрузка — kkRAT.
ВОЗМОЖНОСТИ kkRAT (КОМАНДЫ, ПЛАГИНЫ И ПОВЕДЕНИЕ)
kkRAT подключается к серверу управления через сокет, составляет профиль зараженного хоста и загружает плагины и команды, обеспечивающие расширенное удалённое управление и сбор данных. Его наблюдаемые возможности включают:
- захват экрана и имитация пользовательского ввода (клавиатура и мышь)
- чтение и изменение содержимого буфера обмена (используется для замены адреса криптовалюты)
- включение функции удаленного рабочего стола и удаленного запуска/закрытия приложений, включая браузеры
- удаленное выполнение команд через интерактивную оболочку
- экранное управление Windows и вывод списков/завершение процессов
- перечисление активных сетевых подключений
- вывод списка установленных приложений и удаление выбранного программного обеспечения
- чтение значений реестра автозапуска и перечисление записей автозапуска
- действует как прокси-сервер SOCKS5 для маршрутизации трафика и потенциального обхода брандмауэров или VPN
- установка и развертывание инструментов удаленного управления, таких как Sunlogin и GotoHTTP
- механизмы сохранения и широкий набор команд для вызова плагинов и рабочих функций
kkRAT также содержит функционал клиппера, который заменяет скопированные адреса криптовалютных кошельков, а также процедуры для очистки данных из ряда браузеров и приложений для обмена сообщениями (рассмотренные примеры: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer и Telegram).
РЕЗЮМЕ — ПОЧЕМУ КАМПАНИЯ АТАК ИМЕЕТ ЗНАЧЕНИЕ
Эта кампания примечательна сочетанием: распространения с использованием методов социальной инженерии через легитимные страницы GitHub; продвинутых методов противодействия анализу и антивирусной защиты (обнаружение песочниц/виртуальных машин, BYOVD с использованием кода RealBlindingEDR); многоступенчатого загрузчика, использующего загрузку DLL-библиотек и зашифрованные контейнеры полезной нагрузки; и полнофункционального RAT (kkRAT), поддерживающего как кражу информации (перехват буфера обмена, захват экрана, эксфильтрацию данных), так и операционные инструменты (инструменты удалённого управления, проксирование). Модульная архитектура позволяет менять конечную полезную нагрузку, что повышает гибкость для операторов и усложняет обнаружение и атрибуцию.
