KkRAT தீம்பொருள்

KkRAT என அழைக்கப்படும் முன்னர் ஆவணப்படுத்தப்படாத ரிமோட் அக்சஸ் ட்ரோஜனைப் பயன்படுத்தும் சீன மொழி பேசும் பயனர்களை இலக்காகக் கொண்ட ஒரு செயலில் உள்ள தீம்பொருள் பிரச்சாரத்தை இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். இந்த பிரச்சாரம் மே 2025 தொடக்கத்தில் இருந்து இயங்கி வருவதாகத் தெரிகிறது, மேலும் கண்டறிதலைத் தவிர்க்கவும் நிலைத்தன்மையை அடையவும் மாடுலர் லோடர்கள் மற்றும் ஏமாற்றுதலுடன் பழக்கமான RAT நுட்பங்களை ஒருங்கிணைக்கிறது.

அச்சுறுத்தல் தோற்றம் மற்றும் குறியீட்டு இணைப்புகள்

kkRAT நிறுவப்பட்ட குடும்பங்களிலிருந்து பெருமளவில் கடன் வாங்குகிறது என்பதை பகுப்பாய்வு காட்டுகிறது: அதன் நெட்வொர்க் நெறிமுறை மற்றும் சில குறியீட்டு கட்டமைப்புகள் Gh0st RAT (Ghost RAT) மற்றும் பிக் பேட் வுல்ஃப் (大灰狼) ஆகியவற்றால் பயன்படுத்தப்படுவதை ஒத்திருக்கின்றன, இது சீனாவை தளமாகக் கொண்ட சைபர் கிரைமினல் குழுக்களால் வரலாற்று ரீதியாகப் பயன்படுத்தப்படும் ஒரு RAT ஆகும். ஆசிரியர்கள் சுருக்கத்தின் மேல் கூடுதல் குறியாக்கத்தை அடுக்கி, கூடுதல் குறியாக்க படியுடன் கோஸ்ட் போன்ற தகவல் தொடர்பு சேனலை உருவாக்கினர்.

டெலிவரி முறை — GITHUB பக்கங்களில் போலி நிறுவிகள் ஹோஸ்ட் செய்யப்பட்டுள்ளன

பிரபலமான பயன்பாடுகளை (உதாரணமாக, DingTalk) ஆள்மாறாட்டம் செய்து, போலி நிறுவிகள் மூலம் மூன்று ட்ரோஜான்களை வழங்கிய GitHub பக்கங்களில் நடிகர்கள் ஃபிஷிங் பக்கங்களை ஹோஸ்ட் செய்தனர். GitHub இன் நற்பெயரை துஷ்பிரயோகம் செய்வதன் மூலம், பாதிக்கப்பட்டவர்கள் நிறுவிகளை நம்பி இயக்கும் வாய்ப்பை ஆபரேட்டர்கள் அதிகரித்தனர். பக்கங்களை ஹோஸ்ட் செய்யப் பயன்படுத்தப்படும் GitHub கணக்கு இனி கிடைக்காது என்பதை நிபுணர்கள் குறிப்பிடுகின்றனர்.

நிறுவி நடத்தை

செயல்படுத்தப்படும்போது, போலி நிறுவி சாண்ட்பாக்ஸ் சூழல்கள் மற்றும் மெய்நிகர் இயந்திரங்களைக் கண்டறிய பல சோதனைகளைச் செய்கிறது மற்றும் பாதுகாப்புக் கட்டுப்பாடுகளைத் தவிர்க்க முயற்சிக்கிறது. இது நிர்வாகி சலுகைகளைக் கேட்கிறது; வழங்கப்பட்டால், அது செயலில் உள்ள நெட்வொர்க் அடாப்டர்களைக் கணக்கிட்டு தற்காலிகமாக முடக்குகிறது - இது வைரஸ் தடுப்பு நெட்வொர்க் சோதனைகளில் தலையிடவும், அதன் மாற்றங்களுடன் தொடரும்போது இயல்பான AV செயல்பாட்டை சீர்குலைக்கவும் பயன்படுத்தப்படும் திறன்.

ஏவி எதிர்ப்பு தொழில்நுட்பங்கள்

இந்த தீம்பொருள், RealBlindingEDR திறந்த மூல திட்டத்திலிருந்து குறியீட்டை மீண்டும் பயன்படுத்தி, எண்ட்பாயிண்ட் பாதுகாப்புகளை நடுநிலையாக்க Bring-Your-Own-Vulnerable-Driver (BYOVD) நுட்பத்தைப் பயன்படுத்துகிறது. இது குறிப்பாக இந்த நுகர்வோர் மற்றும் நிறுவன பாதுகாப்பு தொகுப்புகளைத் தேடி குறிவைக்கிறது:

360 இணைய பாதுகாப்பு தொகுப்பு

360 மொத்த பாதுகாப்பு

ஹீரோபிராவோ சிஸ்டம் டயக்னாஸ்டிக்ஸ் தொகுப்பு

கிங்சாஃப்ட் இணையப் பாதுகாப்பு

QQ电脑管家

தொடர்புடைய வைரஸ் தடுப்பு செயல்முறைகளை முடித்த பிறகு, நிறுவி ஒவ்வொரு பயனர் உள்நுழைவிலும் ஒரு தொகுதி ஸ்கிரிப்டை இயக்கும் SYSTEM சலுகைகளுடன் இயங்கும் ஒரு திட்டமிடப்பட்ட பணியை உருவாக்குகிறது - ஒவ்வொரு உள்நுழைவிலும் இலக்கு வைக்கப்பட்ட AV செயல்முறைகள் தானாகவே கொல்லப்படுவதை உறுதி செய்கிறது. தீம்பொருள் நெட்வொர்க் சோதனைகளை முடக்குவதற்கு ஒத்த வழிகளில் விண்டோஸ் ரெஜிஸ்ட்ரி உள்ளீடுகளையும் மாற்றியமைக்கிறது, பின்னர் அதன் மாற்றங்கள் முடிந்ததும் நெட்வொர்க் அடாப்டர்களை மீண்டும் இயக்குகிறது.

பேலோட் செயின்

நிறுவியின் முதன்மைப் பங்கு ஷெல்கோடை இயக்குவதாகும், இது கடின-குறியிடப்பட்ட URL இலிருந்து '2025.bin' என்ற தெளிவற்ற இரண்டாம் நிலை ஷெல்கோடு கோப்பைப் பெற்று செயல்படுத்துகிறது. அந்த ஷெல்கோடு ஒரு பதிவிறக்கியாகச் செயல்பட்டு 'output.log' என்ற கலைப்பொருளை மீட்டெடுக்கிறது, பின்னர் அது இரண்டு ZIP காப்பகங்களைப் பதிவிறக்க இரண்டு URLகளைத் தொடர்பு கொள்கிறது:

• trx38.zip — ஒரு முறையான இயங்கக்கூடிய கோப்பு மற்றும் DLL பக்க ஏற்றுதல் மூலம் தொடங்கப்படும் ஒரு தீங்கிழைக்கும் DLL ஐக் கொண்டுள்ளது.
• p.zip — மறைகுறியாக்கப்பட்ட இறுதி பேலோடை வைத்திருக்கும் longlq.cl என்ற கோப்பைக் கொண்டுள்ளது.

தீம்பொருள் trx38.zip இலிருந்து முறையான இயங்கக்கூடிய கோப்பிற்கு ஒரு குறுக்குவழியை உருவாக்குகிறது, பயனரின் தொடக்க கோப்புறையில் நிலைத்தன்மைக்காக அந்த குறுக்குவழியை வைக்கிறது, மேலும் தீங்கிழைக்கும் DLL ஐ ஓரங்கட்டுவதற்காக முறையான இயங்கக்கூடிய கோப்பை இயக்குகிறது. DLL longlq.cl இல் உள்ள இறுதி பேலோடை மறைகுறியாக்கி செயல்படுத்துகிறது. பிரச்சாரத்தின் இறுதி பேலோடு பிரச்சார நிகழ்வைப் பொறுத்து மாறுபடும்; ஒரு உறுதிப்படுத்தப்பட்ட பேலோடு kkRAT ஆகும்.

kKRAT திறன்கள் (கட்டளைகள், செருகுநிரல்கள் மற்றும் நடத்தை)

kkRAT ஒரு சாக்கெட் வழியாக C2 சேவையகத்துடன் இணைகிறது, பாதிக்கப்பட்ட ஹோஸ்டை சுயவிவரப்படுத்துகிறது, மேலும் விரிவான ரிமோட் கண்ட்ரோல் மற்றும் தரவு சேகரிப்பை செயல்படுத்தும் செருகுநிரல்கள் மற்றும் கட்டளைகளைப் பதிவிறக்குகிறது. அதன் கவனிக்கப்பட்ட திறன்களில் பின்வருவன அடங்கும்:

• பயனர் உள்ளீட்டின் திரைப் பிடிப்பு மற்றும் உருவகப்படுத்துதல் (விசைப்பலகை மற்றும் சுட்டி)
• கிளிப்போர்டு உள்ளடக்கங்களைப் படித்து மாற்றியமைத்தல் (கிரிப்டோகரன்சி முகவரி மாற்றத்திற்குப் பயன்படுத்தப்படுகிறது)
• தொலைநிலை டெஸ்க்டாப் செயல்பாட்டை இயக்குதல் மற்றும் உலாவிகள் உட்பட பயன்பாடுகளைத் தொடங்குதல்/தொலைநிலையாக மூடுதல்
• ஒரு ஊடாடும் ஷெல் வழியாக தொலை கட்டளை செயல்படுத்தல்.
• திரையில் Windows மேலாண்மை மற்றும் செயல்முறை பட்டியல்கள்/முடித்தல்
• செயலில் உள்ள பிணைய இணைப்புகளைக் கணக்கிடுதல்
• நிறுவப்பட்ட பயன்பாடுகளைப் பட்டியலிடுதல் மற்றும் தேர்ந்தெடுக்கப்பட்ட மென்பொருளை நிறுவல் நீக்குதல்
• ஆட்டோரன் பதிவேட்டில் மதிப்புகளைப் படித்தல் மற்றும் ஆட்டோரன் உள்ளீடுகளைக் கணக்கிடுதல்
• போக்குவரத்தை ரூட் செய்வதற்கும், ஃபயர்வால்கள் அல்லது VPNகளை கடந்து செல்வதற்கும் SOCKS5 ப்ராக்ஸியாகச் செயல்படுதல்

kkRAT ஆனது நகலெடுக்கப்பட்ட கிரிப்டோகரன்சி வாலட் முகவரிகளை மாற்றும் கிளிப்பர் செயல்பாட்டையும், பல்வேறு உலாவிகள் மற்றும் செய்தியிடல் பயன்பாடுகளிலிருந்து தரவை அழிக்கும் வழக்கங்களையும் கொண்டுள்ளது (கவனிக்கப்படும் எடுத்துக்காட்டுகள்: 360 வேக உலாவி, கூகிள் குரோம், இன்டர்நெட் எக்ஸ்ப்ளோரர், மொஸில்லா பயர்பாக்ஸ், QQ உலாவி, சோகோ எக்ஸ்ப்ளோரர் மற்றும் டெலிகிராம்).

சுருக்கம் - தாக்குதல் பிரச்சாரம் ஏன் முக்கியமானது?

இந்த பிரச்சாரம் பின்வருவனவற்றை இணைப்பதில் குறிப்பிடத்தக்கது: முறையான தோற்றமுடைய GitHub பக்கங்கள் மூலம் சமூக-பொறியியல் விநியோகம்; மேம்பட்ட பகுப்பாய்வு எதிர்ப்பு மற்றும் AV எதிர்ப்பு நுட்பங்கள் (சாண்ட்பாக்ஸ்/VM கண்டறிதல், RealBlindingEDR குறியீட்டைப் பயன்படுத்தி BYOVD); DLL பக்க ஏற்றுதல் மற்றும் மறைகுறியாக்கப்பட்ட பேலோட் கொள்கலன்களைப் பயன்படுத்தும் பல-நிலை ஏற்றி; மற்றும் தகவல் திருட்டு (கிளிப்போர்டு கடத்தல், திரை பிடிப்பு, தரவு வெளியேற்றம்) மற்றும் செயல்பாட்டு கருவி (ரிமோட் மேனேஜ்மென்ட் கருவிகள், ப்ராக்ஸியிங்) இரண்டையும் ஆதரிக்கும் முழுமையாக இடம்பெற்ற RAT (kkRAT). மட்டு கட்டமைப்பு என்பது இறுதி பேலோடை மாற்றலாம், ஆபரேட்டர்களுக்கான நெகிழ்வுத்தன்மையை அதிகரிக்கிறது மற்றும் கண்டறிதல் மற்றும் பண்புக்கூறை சிக்கலாக்குகிறது.