Zlonamerna programska oprema kkRAT
Raziskovalci Infosec so odkrili aktivno kampanjo zlonamerne programske opreme, namenjeno kitajsko govorečim uporabnikom, ki uporablja prej nedokumentiran trojanski konj za oddaljeni dostop, imenovan kkRAT. Zdi se, da kampanja poteka od začetka maja 2025 in združuje znane tehnike RAT z modularnimi nalagalniki in prevaro, da bi se izognila odkrivanju in dosegla vztrajnost.
Kazalo
IZVORI GROZNJ IN POVEZAVE S KODNO VRSTICO
Analiza kaže, da si kkRAT močno izposoja kodo od uveljavljenih družin: njegov omrežni protokol in nekatere strukture kode so podobne tistim, ki jih uporabljata Gh0st RAT (Ghost RAT) in Big Bad Wolf (大灰狼), RAT, ki so ga v preteklosti uporabljale kitajske kibernetske kriminalne skupine. Avtorji so poleg stiskanja dodali še dodatno šifriranje, s čimer so ustvarili komunikacijski kanal, podoben Ghostu, z dodatnim korakom šifriranja.
NAČIN DOSTAVE – LAŽNI MONTAŽERJI, KI GOSTUJEJO NA STRANIH GITHUB
Akterji so na straneh GitHub gostili strani za lažno predstavljanje, ki so se izdajale za priljubljene aplikacije (na primer DingTalk) in prek lažnih namestitvenih programov dostavljale tri trojanske konje. Z zlorabo ugleda GitHuba so upravljavci povečali verjetnost, da bodo žrtve zaupale namestitvenim programom in jih zagnale. Strokovnjaki ugotavljajo, da račun GitHub, ki se uporablja za gostovanje strani, ni več na voljo.
VEDENJE MONTERJA
Ko se lažni namestitveni program zažene, izvede več preverjanj za zaznavanje peskovnih okolij in virtualnih strojev ter poskuša zaobiti varnostne kontrole. Pozove k skrbniškim pravicam; če so odobrene, našteje in začasno onemogoči aktivne omrežne adapterje – zmožnost, ki se uporablja za motenje protivirusnih omrežnih preverjanj in prekinitev normalnega delovanja protivirusnega programa, medtem ko ta nadaljuje s spremembami.
PROTIAV TEHNIKE
Zlonamerna programska oprema uporablja tehniko »Prinesi svoj ranljiv gonilnik« (BYOVD) za nevtralizacijo zaščit končnih točk, pri čemer ponovno uporablja kodo iz odprtokodnega projekta RealBlindingEDR. Posebej išče in cilja na te pakete zaščite za potrošnike in podjetja:
360 Internet Security Suite
360 Popolna varnost
Komplet za diagnostiko sistema HeroBravo
Kingsoft Internet Security
QQ电脑管家
Po prekinitvi ustreznih protivirusnih procesov namestitveni program ustvari načrtovano nalogo, ki se izvaja s sistemskimi pravicami in ob vsaki prijavi uporabnika izvede paketni skript – s čimer zagotovi, da se ciljni protivirusni procesi samodejno ustavijo ob vsaki prijavi. Zlonamerna programska oprema spreminja tudi vnose v register sistema Windows na načine, ki so skladni z onemogočanjem omrežnih preverjanj, nato pa po končanih spremembah ponovno omogoči omrežne adapterje.
VERIGA ZA KORISNI TOVOR
Primarna vloga namestitvenega programa je zagon shellcode, ki pridobi in izvede zakrito sekundarno datoteko shellcode z imenom »2025.bin« iz trdo kodiranega URL-ja. Ta shellcode deluje kot program za prenos in pridobi artefakt z imenom »output.log«, ki nato stopi v stik z dvema URL-jema za prenos dveh ZIP arhivov:
- trx38.zip – vsebuje legitimno izvedljivo datoteko in zlonamerno DLL, ki se zažene prek stranskega nalaganja DLL.
- p.zip – vsebuje datoteko z imenom longliq.cl, ki vsebuje šifriran končni koristni tovor.
Zlonamerna programska oprema ustvari bližnjico do legitimne izvedljive datoteke iz datoteke trx38.zip, to bližnjico postavi v uporabnikovo mapo Startup za trajno shranjevanje in zažene legitimno izvedljivo datoteko, tako da naloži zlonamerno DLL datoteko. DLL dešifrira in izvede končni koristni bremenitev, ki jo vsebuje longliq.cl. Končni koristni bremenitev kampanje se razlikuje glede na primer kampanje; ena potrjena koristna datoteka je kkRAT.
ZMOŽNOSTI kkRAT (UKAZI, VTIČNIKI IN OBNAŠANJE)
kkRAT se prek vtičnice poveže s strežnikom C2, profilira okuženega gostitelja ter prenese vtičnike in ukaze, ki omogočajo obsežen oddaljeni nadzor in zbiranje podatkov. Njegove opažene zmogljivosti vključujejo:
- zajem zaslona in simulacija uporabniškega vnosa (tipkovnica in miška)
- branje in spreminjanje vsebine odložišča (uporablja se za zamenjavo naslova kriptovalute)
- omogočanje funkcionalnosti oddaljenega namizja in zagon/zapiranje aplikacij na daljavo, vključno z brskalniki
- oddaljeno izvajanje ukazov prek interaktivne lupine
- upravljanje sistema Windows in seznami/prekinitve procesov na zaslonu
- naštevanje aktivnih omrežnih povezav
- seznam nameščenih aplikacij in odstranitev izbrane programske opreme
- branje vrednosti registra samodejnega zagona in naštevanje vnosov samodejnega zagona
- deluje kot SOCKS5 proxy za usmerjanje prometa in morebitno obhod požarnih zidov ali VPN-jev
- namestitev in uvajanje orodij za oddaljeno upravljanje, kot sta Sunlogin in GotoHTTP
- mehanizmi vztrajnosti in širok nabor ukazov za klic vtičnikov in operativnih funkcij
kkRAT vsebuje tudi funkcionalnost brisanja podatkov, ki nadomešča kopirane naslove denarnic s kriptovalutami, in rutine za brisanje podatkov iz različnih brskalnikov in aplikacij za sporočanje (opaženi primeri: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer in Telegram).
POVZETEK – ZAKAJ JE NAPADNA KAMPANJA POMEMBNA
Ta kampanja je znana po kombinaciji: distribucije s socialnim inženiringom prek legitimnih strani GitHub; naprednih tehnik proti analizi in anti-AV (zaznavanje peskovnika/VM, BYOVD z uporabo kode RealBlindingEDR); večstopenjskega nalagalnika, ki uporablja stransko nalaganje DLL in šifrirane vsebnike koristnega tovora; in popolnoma opremljenega RAT (kkRAT), ki podpira tako krajo informacij (ugrabitev odložišča, zajem zaslona, izkoriščanje podatkov) kot operativna orodja (orodja za oddaljeno upravljanje, posredovanje). Modularna arhitektura pomeni, da je mogoče končni koristni tovor zamenjati, kar povečuje fleksibilnost za operaterje in otežuje odkrivanje in atribucijo.
