Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér kkRAT

Škodlivý softvér kkRAT

Do roku Mezo v roku Malvér, Nástroje vzdialenej správy
Preložiť do:

Výskumníci z Infosec odhalili aktívnu malvérovú kampaň zameranú na čínsky hovoriacich používateľov, ktorá používa doteraz nezdokumentovaný trójsky kôň pre vzdialený prístup s názvom kkRAT. Kampaň zrejme prebieha od začiatku mája 2025 a kombinuje známe techniky RAT s modulárnymi zavádzačmi a klamlivými metódami, aby sa vyhla detekcii a dosiahla trvalosť.

PÔVOD HROZIEB A PREPOJENIA NA KÓDOVÚ LINKU

Analýza ukazuje, že kkRAT si vo veľkej miere požičiava od zavedených rodín: jeho sieťový protokol a niektoré štruktúry kódu sa podobajú tým, ktoré používali Gh0st RAT (Ghost RAT) a Big Bad Wolf (大灰狼), čo je RAT historicky používaný čínskymi kyberzločineckými skupinami. Autori pridali dodatočné šifrovanie na kompresiu, čím vytvorili komunikačný kanál podobný Ghostovi s dodatočným šifrovacím krokom.

SPÔSOB DORUČENIA – FALOŠNÉ INŠTALÁTORY HOSTOVANÉ NA STRÁNKACH GITHUB

Útočníci hostili na stránkach GitHub phishingové stránky, ktoré sa vydávali za populárne aplikácie (napríklad DingTalk) a prostredníctvom falošných inštalátorov doručovali tri trójske kone. Zneužívaním reputácie GitHubu prevádzkovatelia zvýšili pravdepodobnosť, že obete budú inštalátorom dôverovať a spúšťať ich. Odborníci poznamenávajú, že účet GitHub používaný na hosťovanie stránok už nie je k dispozícii.

SPRÁVANIE INŠTALÁTORA

Po spustení falošný inštalátor vykoná viacero kontrol na detekciu sandboxových prostredí a virtuálnych počítačov a pokúsi sa obísť bezpečnostné kontroly. Vyžiada si administrátorské oprávnenia; ak sú udelené, vymenuje a dočasne deaktivuje aktívne sieťové adaptéry – táto funkcia sa používa na narušenie antivírusových kontrol siete a na narušenie bežnej prevádzky antivírusového programu počas vykonávania zmien.

ANTI-AV TECHNIKY

Malvér používa techniku BYOVD (Bring-Your-Own-Vulnerable-Driver) na neutralizáciu ochrany koncových bodov, pričom opätovne využíva kód z open-source projektu RealBlindingEDR. Konkrétne vyhľadáva a zameriava sa na tieto balíky ochrany pre spotrebiteľov a podniky:

Balík 360 Internet Security

360 Totálna bezpečnosť

Sada systémovej diagnostiky HeroBravo

Kingsoft Internet Security

QQ 电脑管家

Po ukončení príslušných antivírusových procesov inštalátor vytvorí naplánovanú úlohu spustenú s oprávneniami SYSTEM, ktorá pri každom prihlásení používateľa spustí dávkový skript – čím sa zabezpečí, že cielené antivírusové procesy sa automaticky ukončia pri každom prihlásení. Malvér tiež upravuje položky v registri systému Windows spôsobom, ktorý zodpovedá zakázaniu sieťových kontrol, a po dokončení úprav znova povolí sieťové adaptéry.

REŤAZ UŽITOČNÉHO ZAŤAŽENIA

Primárnou úlohou inštalátora je spustenie shellcode, ktorý načíta a spustí obfuskovaný sekundárny shellcode súbor s názvom „2025.bin“ z pevne zakódovanej URL adresy. Tento shellcode funguje ako sťahovací program a načíta artefakt s názvom „output.log“, ktorý potom kontaktuje dve URL adresy, aby stiahol dva ZIP archívy:

  • trx38.zip – obsahuje legitímny spustiteľný súbor a škodlivú knižnicu DLL, ktorá sa spúšťa prostredníctvom bočného načítania knižnic DLL.
  • p.zip – obsahuje súbor s názvom longliq.cl, ktorý obsahuje zašifrovaný konečný dátový súbor.

Malvér vytvorí skratku k legitímnemu spustiteľnému súboru zo súboru trx38.zip, umiestni túto skratku do priečinka Po spustení používateľa pre trvalé uloženie a spustí legitímny spustiteľný súbor, aby sa škodlivá knižnica DLL načítala z iného zdroja. Táto knižnica DLL dešifruje a spustí finálnu dátovú záťaž obsiahnutú v súbore longliq.cl. Finálna dátová záťaž kampane sa líši v závislosti od inštancie kampane; jednou potvrdenou dátovou záťažou je kkRAT.

MOŽNOSTI kkRAT (PRÍKAZY, PLUGÍNY A SPRÁVANIE)

kkRAT sa pripája k serveru C2 cez socket, profiluje infikovaný hostiteľ a sťahuje pluginy a príkazy, ktoré umožňujú rozsiahle diaľkové ovládanie a zber údajov. Medzi jeho pozorované schopnosti patria:

  • snímanie obrazovky a simulácia vstupu používateľa (klávesnica a myš)
  • čítanie a úprava obsahu schránky (používa sa na nahradenie adresy kryptomeny)
  • povolenie funkcie vzdialenej plochy a spúšťanie/vzdialené zatváranie aplikácií vrátane prehliadačov
  • vzdialené vykonávanie príkazov prostredníctvom interaktívneho shellu
  • správa systému Windows a zoznamy/ukončenie procesov na obrazovke
  • vymenovanie aktívnych sieťových pripojení
  • zobrazenie zoznamu nainštalovaných aplikácií a odinštalovanie vybraného softvéru
  • čítanie hodnôt registra automatického spúšťania a vymenovanie položiek automatického spúšťania
  • funguje ako SOCKS5 proxy na smerovanie prevádzky a potenciálne obchádzanie firewallov alebo VPN
  • inštalácia a nasadenie nástrojov na vzdialenú správu, ako sú Sunlogin a GotoHTTP
  • mechanizmy perzistencie a široká sada príkazov na vyvolanie pluginov a operačných funkcií

kkRAT obsahuje aj funkciu clipper, ktorá nahrádza skopírované adresy kryptomenových peňaženiek, a rutiny na vymazanie údajov z rôznych prehliadačov a aplikácií na odosielanie správ (pozorované príklady: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer a Telegram).

ZHRNUTIE – PREČO JE ÚTOČNÁ KAMPAŇ VÝZNAMNÁ

Táto kampaň je pozoruhodná kombináciou: distribúcie pomocou sociálneho inžinierstva prostredníctvom legitímne vyzerajúcich stránok GitHub; pokročilých antianalytických a anti-AV techník (detekcia sandbox/VM, BYOVD s použitím kódu RealBlindingEDR); viacstupňového zavádzača, ktorý používa bočné načítavanie DLL a šifrované kontajnery s dátami; a plne funkčného RAT (kkRAT), ktorý podporuje krádež informácií (únos schránky, snímanie obrazovky, exfiltrácia dát) aj operačné nástroje (nástroje na vzdialenú správu, proxying). Modulárna architektúra znamená, že konečné dáta je možné vymeniť, čo zvyšuje flexibilitu pre operátorov a komplikuje detekciu a pripisovanie.

Trendy

Najviac videné

Načítava...