Rabattoffert för flera licenser
Hotdatabas Skadlig programvara KkRAT-skadlig programvara

KkRAT-skadlig programvara

Med Mezo år Skadlig programvara, Fjärradministrationsverktyg
Översätt till:

Infosec-forskare har upptäckt en aktiv skadlig kampanj riktad mot kinesisktalande användare som använder en tidigare odokumenterad fjärråtkomsttrojan kallad kkRAT. Kampanjen verkar ha körts sedan början av maj 2025 och kombinerar välkända RAT-tekniker med modulära laddare och bedrägeri för att undvika upptäckt och uppnå persistens.

Hotens ursprung och kodlinjelänkar

Analys visar att kkRAT lånar kraftigt från etablerade familjer: dess nätverksprotokoll och vissa kodstrukturer liknar de som används av Gh0st RAT (Ghost RAT) och Big Bad Wolf (大灰狼), en RAT som historiskt använts av Kina-baserade cyberkriminella grupper. Författarna lade till ytterligare kryptering ovanpå komprimeringen, vilket skapade en Ghost-liknande kommunikationskanal med ett extra krypteringssteg.

LEVERANSMETOD — FALSKA INSTALLATIONSPROGRAM PÅ GITHUB-SIDOR

Aktörer publicerade nätfiskesidor på GitHub Pages som utgav sig för att vara populära applikationer (till exempel DingTalk) och levererade tre trojaner via falska installationsprogram. Genom att missbruka GitHubs rykte ökade operatörerna sannolikheten för att offren skulle lita på och köra installationsprogrammen. Experter noterar att GitHub-kontot som användes för att vara värd för sidorna inte längre är tillgängligt.

INSTALLATÖRENS BETEENDE

När den körs utför det falska installationsprogrammet flera kontroller för att upptäcka sandlådemiljöer och virtuella maskiner och försöker kringgå säkerhetskontroller. Det frågar efter administratörsbehörighet; om det beviljas räknar det upp och inaktiverar tillfälligt aktiva nätverkskort – en funktion som används för att störa antivirusnätverkskontroller och för att avbryta normal antivirusdrift medan det fortsätter med sina ändringar.

ANTI-AV-TEKNIKER

Skadlig programvara använder en BYOVD-teknik (Bring-Your-Own-Vulnerable-Driver) för att neutralisera endpoint-skydd genom att återanvända kod från RealBlindingEDR-projektet med öppen källkod. Den söker specifikt efter och riktar in sig på dessa konsument- och företagsskyddspaket:

360 Internet Security-svit

360 Total Säkerhet

HeroBravo System Diagnostics-sviten

Kingsoft Internet Security

QQ电脑管家

Efter att relevanta antivirusprocesser har avslutats skapar installationsprogrammet en schemalagd uppgift som körs med SYSTEM-behörighet och som kör ett batchskript vid varje användarinloggning – vilket säkerställer att de riktade antivirusprocesserna avslutas automatiskt vid varje inloggning. Skadlig programvara modifierar också Windows-registerposter på sätt som överensstämmer med att inaktivera nätverkskontroller och återaktiverar sedan nätverkskort när ändringarna är klara.

NYTTOLASTKEDJA

Installationsprogrammets primära roll är att köra shellcode, som hämtar och kör en obfuskerad sekundär shellcode-fil med namnet '2025.bin' från en hårdkodad URL. Den shellcoden fungerar som en nedladdare och hämtar en artefakt med namnet 'output.log', som sedan kontaktar två URL:er för att ladda ner två ZIP-arkiv:

  • trx38.zip — innehåller en legitim körbar fil plus en skadlig DLL som startas via DLL-sidladdning.
  • p.zip — innehåller en fil som heter longlq.cl som innehåller en krypterad slutlig nyttolast.

Den skadliga programvaran skapar en genväg till den legitima körbara filen från trx38.zip, placerar genvägen i användarens startmapp för beständighet och kör den legitima körbara filen så att den skadliga DLL-filen sidladdas. DLL-filen dekrypterar och kör den slutliga nyttolasten som finns i longlq.cl. Kampanjens slutliga nyttolast varierar beroende på kampanjens instans; en bekräftad nyttolast är kkRAT.

kkRAT-FUNKTIONER (KOMMANDOER, PLUGINS OCH BETEENDE)

kkRAT ansluter till en C2-server via en socket, profilerar den infekterade värden och laddar ner plugins och kommandon som möjliggör omfattande fjärrstyrning och datainsamling. Dess observerade funktioner inkluderar:

  • skärmdump och simulering av användarinmatning (tangentbord och mus)
  • läsa och modifiera innehållet i urklipp (används för att ersätta kryptovalutaadresser)
  • aktivera fjärrskrivbordsfunktioner och starta/stänga program på distans, inklusive webbläsare
  • fjärrkommandokörning via ett interaktivt skal
  • Windows-hantering på skärmen och processlistor/avslutning
  • räknar upp aktiva nätverksanslutningar
  • lista installerade program och avinstallera vald programvara
  • läsa autorun-registervärden och räkna upp autorun-poster
  • fungerar som en SOCKS5-proxy för att dirigera trafik och potentiellt kringgå brandväggar eller VPN:er
  • installera och driftsätta verktyg för fjärrhantering som Sunlogin och GotoHTTP
  • persistensmekanismer och en bred uppsättning kommandon för att anropa plugins och operativa funktioner

kkRAT innehåller även en klippfunktion som ersätter kopierade adresser till kryptovalutaplånböcker och rutiner för att rensa data från en rad webbläsare och meddelandeappar (exempel som observerats: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer och Telegram).

SAMMANFATTNING — VARFÖR ATTACKKAMPANJEN ÄR BETYDELSFULL

Denna kampanj är känd för att kombinera: social engineering-distribution genom legitima GitHub-sidor; avancerade anti-analys- och anti-AV-tekniker (sandbox/VM-detektering, BYOVD med RealBlindingEDR-kod); en flerstegsladdare som använder DLL-sidladdning och krypterade nyttolastbehållare; och en fullfjädrad RAT (kkRAT) som stöder både informationsstöld (klippbordskapning, skärmdumpning, dataexfiltrering) och operativa verktyg (fjärrhanteringsverktyg, proxy). Den modulära arkitekturen innebär att den slutliga nyttolasten kan bytas ut, vilket ökar flexibiliteten för operatörerna och komplicerar detektering och tillskrivning.

Trendigt

Mest sedda

Läser in...