KkRAT Злонамерни софтвер

Истраживачи Инфосека открили су активну кампању злонамерног софтвера усмерену на кориснике који говоре кинески језик, а која користи раније недокументовани тројански коњ за даљински приступ назван kkRAT. Кампања изгледа да траје од почетка маја 2025. године и комбинује познате RAT технике са модуларним учитавачима и обманом како би избегла откривање и постигла трајност.

ПОРЕКЛО ПРЕТЊИ И ВЕЗЕ СА КОДИРАНИМ ЛИНИЈАМА

Анализа показује да kkRAT у великој мери позајмљује од већ постојећих породица: његов мрежни протокол и неке структуре кода подсећају на оне које користе Gh0st RAT (Ghost RAT) и Big Bad Wolf (大灰狼), RAT који су историјски користиле кинеске сајбер криминалне групе. Аутори су додали додатну енкрипцију поред компресије, стварајући комуникациони канал сличан Ghost-у са додатним кораком енкрипције.

НАЧИН ИСПОРУКЕ — ЛАЖНИ ИНСТАЛАТЕРИ ХОСТОВАНИ НА ГИТХАБ СТРАНИЦАМА

Актери су хостовали фишинг странице на GitHub страницама које су се представљале као популарне апликације (на пример, DingTalk) и испоручивале три тројанца путем лажних инсталера. Злоупотребом репутације GitHub-а, оператери су повећали вероватноћу да ће жртве веровати и покренути инсталере. Стручњаци напомињу да GitHub налог који се користи за хостовање страница више није доступан.

ПОНАШАЊЕ ИНСТАЛАТЕРА

Када се покрене, лажни инсталатер врши вишеструке провере како би открио sandbox окружења и виртуелне машине и покушава да заобиђе безбедносне контроле. Тражи администраторске привилегије; ако су одобрене, набраја и привремено онемогућава активне мрежне адаптере — могућност која се користи за ометање антивирусних мрежних провера и за прекид нормалног рада антивирусног програма док наставља са својим изменама.

АНТИАВ ТЕХНИКЕ

Злонамерни софтвер користи технику „Донеси свој рањиви драјвер“ (BYOVD) да би неутралисао заштиту крајњих тачака, поново користећи код из пројекта отвореног кода RealBlindingEDR. Посебно тражи и циља следеће пакете заштите за потрошаче и предузећа:

360 Интернет безбедносни пакет

360 Потпуна безбедност

HeroBravo пакет за дијагностику система

Кингсофт Интернет Секјурити

КК电脑管家

Након завршетка релевантних антивирусних процеса, инсталатер креира заказани задатак који се покреће са системским привилегијама и извршава групни скрипт при свакој пријави корисника — осигуравајући да се циљани антивирусни процеси аутоматски затварају при свакој пријави. Злонамерни софтвер такође мења уносе у Windows регистар на начин који је консистентан на онемогућавање мрежних провера, а затим поново омогућава мрежне адаптере када се његове модификације заврше.

ЛАНАЦ КОРИСНОГ ТЕРЕТА

Примарна улога инсталатера је покретање шелкодa, који преузима и извршава замаскирани секундарни шелкод фајл под називом „2025.bin“ са чврсто кодираног URL-а. Тај шелкод делује као програм за преузимање и преузима артефакт под називом „output.log“, који затим контактира два URL-а да би преузео две ZIP архиве:

• trx38.zip — садржи легитимну извршну датотеку плус злонамерну DLL датотеку која се покреће путем бочног учитавања DLL-а.
• п.зип — садржи датотеку под називом longliq.cl која садржи шифровани коначни корисни терет.

Злонамерни софтвер креира пречицу до легитимне извршне датотеке из trx38.zip, смешта ту пречицу у корисникову фасциклу Startup ради трајног очувања и покреће легитимну извршну датотеку тако да учита злонамерну DLL датотеку са стране. DLL дешифрује и извршава коначни корисни садржај садржан у longliq.cl. Коначни корисни садржај кампање варира у зависности од инстанце кампање; један потврђени корисни садржај је kkRAT.

МОГУЋНОСТИ kkRAT-а (КОМАНДЕ, ДОДАЦИ И ПОНАШАЊЕ)

kkRAT се повезује са C2 сервером преко сокета, профилише заражени хост и преузима додатке и команде који омогућавају опсежну даљинску контролу и прикупљање података. Његове уочене могућности укључују:

• снимање екрана и симулација корисничког уноса (тастатура и миш)
• читање и модификовање садржаја међуспремника (користи се за замену адресе криптовалуте)
• омогућавање функционалности удаљене радне површине и покретање/даљинско затварање апликација, укључујући прегледаче
• даљинско извршавање команди путем интерактивне љуске
• управљање Windows-ом и листање/завршетак процеса на екрану
• набрајање активних мрежних веза
• листање инсталираних апликација и деинсталирање одабраног софтвера
• читање вредности регистра за аутоматско покретање и набрајање уноса за аутоматско покретање
• делује као SOCKS5 прокси за усмеравање саобраћаја и потенцијално заобилажење заштитних зидова или VPN-ова

• инсталирање и имплементација алата за даљинско управљање као што су Sunlogin и GotoHTTP

• механизми перзистентности и широк скуп команди за позивање додатака и оперативних функција

ккRAT такође садржи функционалност клипера која замењује копиране адресе криптовалутних новчаника и рутине за брисање података из низа прегледача и апликација за размену порука (примећени примери: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer и Telegram).

РЕЗИМЕ — ЗАШТО ЈЕ НАПАДНА КАМПАЊА ЗНАЧАЈНА

Ова кампања је позната по комбиновању: дистрибуције путем социјалног инжењеринга путем легитимно изгледајућих GitHub страница; напредних техника против анализе и анти-AV (детекција sandbox/VM, BYOVD коришћењем RealBlindingEDR кода); вишестепеног програма за учитавање који користи бочно учитавање DLL-а и шифроване контејнере корисног оптерећења; и потпуно функционалног RAT-а (kkRAT) који подржава и крађу информација (отмица међуспремника, снимање екрана, извлачење података) и оперативне алате (алати за даљинско управљање, проксирање). Модуларна архитектура значи да се коначни корисни оптерећење може заменити, што повећава флексибилност за оператере и компликује откривање и атрибуцију.