Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware kkRAT Malware

kkRAT Malware

Nga MezoMalware, Mjetet e administrimit në distancë
Përkthe në:

Studiuesit e Infosec kanë zbuluar një fushatë aktive të malware-it që synon përdoruesit që flasin kinezisht, e cila përdor një trojan me akses në distancë të padokumentuar më parë, të quajtur kkRAT. Fushata duket se ka qenë në funksion që nga fillimi i majit 2025 dhe kombinon teknikat e njohura të RAT me ngarkues modularë dhe mashtrim për të shmangur zbulimin dhe për të arritur qëndrueshmëri.

ORIGJINAT E KËRCËNIMIT DHE LIDHJET E KODELIT

Analiza tregon se kkRAT huazon shumë nga familjet e themeluara: protokolli i tij i rrjetit dhe disa struktura kodi ngjajnë me ato të përdorura nga Gh0st RAT (Ghost RAT) dhe Big Bad Wolf (大灰狼), një RAT i përdorur historikisht nga grupet kiberkriminale me bazë në Kinë. Autorët shtresuan enkriptim shtesë përveç kompresimit, duke prodhuar një kanal komunikimi të ngjashëm me Ghost me një hap shtesë enkriptimi.

METODA E DORËZIMIT — INSTALUES TË RREME TË HOSTUAR NË FAQET E GITHUB

Aktorët strehuan faqe phishing në GitHub Pages që imitonin aplikacione të njohura (për shembull, DingTalk) dhe shpërndanë tre trojanë nëpërmjet instaluesve të rremë. Duke abuzuar me reputacionin e GitHub, operatorët rritën gjasat që viktimat t'u besonin dhe t'i përdornin instaluesit. Ekspertët vërejnë se llogaria GitHub e përdorur për të strehuar faqet nuk është më e disponueshme.

SJELLJA E INSTALUESIT

Kur ekzekutohet, instaluesi i rremë kryen kontrolle të shumta për të zbuluar mjediset sandbox dhe makinat virtuale dhe përpiqet të anashkalojë kontrollet e sigurisë. Ai kërkon privilegje administratori; nëse jepen, ai numëron dhe çaktivizon përkohësisht adaptorët aktivë të rrjetit - një aftësi e përdorur për të ndërhyrë në kontrollet e rrjetit antivirus dhe për të ndërprerë funksionimin normal të AV ndërsa vazhdon me ndryshimet e tij.

TEKNIKAT ANTI-AV

Malware përdor një teknikë Bring-Your-Own-Vulnerable-Driver (BYOVD) për të neutralizuar mbrojtjet e pikave fundore, duke ripërdorur kodin nga projekti me burim të hapur RealBlindingEDR. Ai kërkon dhe synon në mënyrë specifike këto paketa mbrojtjeje për konsumatorët dhe ndërmarrjet:

Paketa e Sigurisë në Internet 360

Siguri Totale 360

Paketa e Diagnostikimit të Sistemit HeroBravo

Siguria në Internet e Kingsoft

QQ电脑管家

Pas përfundimit të proceseve përkatëse antivirus, instaluesi krijon një detyrë të planifikuar që ekzekutohet me privilegje SYSTEM që ekzekuton një skript batch në çdo hyrje të përdoruesit — duke siguruar që proceset e synuara AV të mbyllen automatikisht në çdo hyrje. Malware gjithashtu modifikon hyrjet e Regjistrit të Windows në mënyra që përputhen me çaktivizimin e kontrolleve të rrjetit, pastaj riaktivizon adaptorët e rrjetit pasi të jenë përfunduar modifikimet e tij.

ZINXHIRI I NGARKESËS

Roli kryesor i instaluesit është të ekzekutojë shellcode, i cili merr dhe ekzekuton një skedar shellcode sekondar të paqartë të quajtur '2025.bin' nga një URL e koduar në mënyrë të ngurtë. Ky shellcode vepron si një shkarkues dhe merr një artefakt të quajtur 'output.log', i cili më pas kontakton dy URL për të shkarkuar dy arkiva ZIP:

  • trx38.zip — përmban një skedar ekzekutues legjitim plus një DLL keqdashëse që hapet nëpërmjet ngarkimit anësor të DLL-së.
  • p.zip — përmban një skedar të quajtur longlq.cl që përmban një ngarkesë përfundimtare të enkriptuar.

Malware krijon një shkurtore për skedarin ekzekutues legjitim nga trx38.zip, e vendos atë shkurtore në dosjen Startup të përdoruesit për qëndrueshmëri dhe ekzekuton skedarin ekzekutues legjitim në mënyrë që të ngarkojë në mënyrë anësore DLL-në keqdashëse. DLL dekripton dhe ekzekuton ngarkesën përfundimtare të përmbajtur në longlq.cl. Ngarkesa përfundimtare e fushatës ndryshon sipas instancës së fushatës; një ngarkesë e konfirmuar është kkRAT.

KAPACITETET E kkRAT (KOMANDA, PLUGINA DHE SJELLJE)

kkRAT lidhet me një server C2 nëpërmjet një socket-i, krijon profilin e hostit të infektuar dhe shkarkon shtojca dhe komanda që mundësojnë kontroll të gjerë në distancë dhe mbledhje të dhënash. Aftësitë e tij të vëzhguara përfshijnë:

  • kapja e ekranit dhe simulimi i të dhënave të përdoruesit (tastiera dhe mausi)
  • leximi dhe modifikimi i përmbajtjes së clipboard-it (përdoret për zëvendësimin e adresës së kriptomonedhës)
  • aktivizimi i funksionalitetit të desktopit në distancë dhe hapja/mbyllja nga distanca e aplikacioneve, duke përfshirë shfletuesit
  • ekzekutimi i komandës në distancë përmes një shell interaktiv
  • menaxhimi në ekran i Windows dhe listat/përfundimi i proceseve
  • numërimi i lidhjeve aktive të rrjetit
  • renditja e aplikacioneve të instaluara dhe çinstalimi i softuerit të zgjedhur
  • leximi i vlerave të Regjistrit të Autorun dhe numërimi i hyrjeve të Autorun
  • duke vepruar si një proxy SOCKS5 për të drejtuar trafikun dhe potencialisht për të anashkaluar firewall-et ose VPN-të
  • instalimi dhe vendosja e mjeteve të menaxhimit në distancë si Sunlogin dhe GotoHTTP
  • mekanizmat e qëndrueshmërisë dhe një grup i gjerë komandash për të thirrur shtojcat dhe funksionet operative

kkRAT përmban gjithashtu funksionalitetin e prerjes së të dhënave që zëvendëson adresat e kopjuara të portofoleve të kriptomonedhave dhe rutinat për të pastruar të dhënat nga një gamë shfletuesish dhe aplikacionesh mesazhesh (shembuj të vëzhguar: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer dhe Telegram).

PËRMBLEDHJE — PSE FUSHATA E SULMIT ËSHTË E RËNDËSISHME

Kjo fushatë është e shquar për kombinimin e: shpërndarjes së inxhinierisë sociale përmes faqeve GitHub që duken legjitime; teknikave të përparuara kundër analizës dhe anti-AV (zbulimi sandbox/VM, BYOVD duke përdorur kodin RealBlindingEDR); një ngarkues shumëfazësh që përdor ngarkim anësor të DLL dhe kontejnerë të enkriptuar të ngarkesës; dhe një RAT (kkRAT) me funksione të plota që mbështet si vjedhjen e informacionit (rrëmbimin e clipboard-it, kapjen e ekranit, nxjerrjen e të dhënave) ashtu edhe mjetet operative (mjetet e menaxhimit në distancë, proxying). Arkitektura modulare do të thotë që ngarkesa përfundimtare mund të shkëmbehet, duke rritur fleksibilitetin për operatorët dhe duke komplikuar zbulimin dhe atribuimin.

Në trend

Më e shikuara

Po ngarkohet...