KkRAT మాల్వేర్

ఇన్ఫోసెక్ పరిశోధకులు చైనీస్ మాట్లాడే వినియోగదారులను లక్ష్యంగా చేసుకుని kkRAT అని పిలువబడే గతంలో నమోదుకాని రిమోట్ యాక్సెస్ ట్రోజన్‌ను ఉపయోగించే ఒక క్రియాశీల మాల్వేర్ ప్రచారాన్ని కనుగొన్నారు. ఈ ప్రచారం మే 2025 ప్రారంభం నుండి నడుస్తున్నట్లు కనిపిస్తోంది మరియు గుర్తింపును తప్పించుకోవడానికి మరియు నిలకడను సాధించడానికి మాడ్యులర్ లోడర్‌లు మరియు మోసాలతో సుపరిచితమైన RAT పద్ధతులను మిళితం చేస్తుంది.

బెదిరింపు మూలాలు మరియు కోడ్‌లైన్ లింకులు

విశ్లేషణ ప్రకారం kkRAT స్థిరపడిన కుటుంబాల నుండి భారీగా అప్పు తీసుకుంటుంది: దాని నెట్‌వర్క్ ప్రోటోకాల్ మరియు కొన్ని కోడ్ నిర్మాణాలు Gh0st RAT (ఘోస్ట్ RAT) మరియు బిగ్ బాడ్ వోల్ఫ్ (大灰狼) ఉపయోగించే వాటిని పోలి ఉంటాయి, ఇది చైనాకు చెందిన సైబర్ నేరస్థుల సమూహాలు చారిత్రాత్మకంగా ఉపయోగించే RAT. రచయితలు కంప్రెషన్ పైన అదనపు ఎన్‌క్రిప్షన్‌ను పొరలుగా వేసి, అదనపు ఎన్‌క్రిప్షన్ దశతో ఘోస్ట్ లాంటి కమ్యూనికేషన్ ఛానెల్‌ను ఉత్పత్తి చేశారు.

డెలివరీ పద్ధతి — GITHUB పేజీలలో హోస్ట్ చేయబడిన నకిలీ ఇన్‌స్టాలర్‌లు

నటులు GitHub పేజీలలో ఫిషింగ్ పేజీలను హోస్ట్ చేశారు, ఇవి ప్రసిద్ధ అప్లికేషన్‌లను (ఉదాహరణకు, DingTalk) అనుకరించి నకిలీ ఇన్‌స్టాలర్‌ల ద్వారా మూడు ట్రోజన్‌లను పంపిణీ చేశాయి. GitHub యొక్క ఖ్యాతిని దుర్వినియోగం చేయడం ద్వారా, ఆపరేటర్లు బాధితులు ఇన్‌స్టాలర్‌లను విశ్వసించి అమలు చేసే అవకాశాన్ని పెంచారు. పేజీలను హోస్ట్ చేయడానికి ఉపయోగించిన GitHub ఖాతా ఇకపై అందుబాటులో లేదని నిపుణులు గమనించారు.

ఇన్‌స్టాలర్ ప్రవర్తన

అమలు చేసినప్పుడు, నకిలీ ఇన్‌స్టాలర్ శాండ్‌బాక్స్ వాతావరణాలను మరియు వర్చువల్ యంత్రాలను గుర్తించడానికి బహుళ తనిఖీలను నిర్వహిస్తుంది మరియు భద్రతా నియంత్రణలను దాటవేయడానికి ప్రయత్నిస్తుంది. ఇది నిర్వాహక అధికారాల కోసం ప్రాంప్ట్ చేస్తుంది; మంజూరు చేయబడితే, ఇది క్రియాశీల నెట్‌వర్క్ అడాప్టర్‌లను లెక్కించి తాత్కాలికంగా నిలిపివేస్తుంది - యాంటీవైరస్ నెట్‌వర్క్ తనిఖీలలో జోక్యం చేసుకోవడానికి మరియు దాని మార్పులతో ముందుకు సాగుతున్నప్పుడు సాధారణ AV ఆపరేషన్‌కు అంతరాయం కలిగించడానికి ఉపయోగించే సామర్థ్యం.

యాంటీ-AV టెక్నిక్‌లు

ఈ మాల్వేర్, RealBlindingEDR ఓపెన్-సోర్స్ ప్రాజెక్ట్ నుండి కోడ్‌ను తిరిగి ఉపయోగించి, ఎండ్‌పాయింట్ రక్షణలను తటస్థీకరించడానికి Bring-Your-Own-Vulnerable-Driver (BYOVD) టెక్నిక్‌ను ఉపయోగిస్తుంది. ఇది ప్రత్యేకంగా ఈ వినియోగదారు మరియు ఎంటర్‌ప్రైజ్ రక్షణ సూట్‌ల కోసం శోధిస్తుంది మరియు లక్ష్యంగా చేసుకుంటుంది:

360 ఇంటర్నెట్ సెక్యూరిటీ సూట్

360 మొత్తం భద్రత

హీరోబ్రావో సిస్టమ్ డయాగ్నస్టిక్స్ సూట్

కింగ్‌సాఫ్ట్ ఇంటర్నెట్ సెక్యూరిటీ

QQ电脑管家

సంబంధిత యాంటీవైరస్ ప్రక్రియలను ముగించిన తర్వాత, ఇన్‌స్టాలర్ ప్రతి యూజర్ లాగిన్‌లో బ్యాచ్ స్క్రిప్ట్‌ను అమలు చేసే SYSTEM అధికారాలతో నడుస్తున్న షెడ్యూల్ చేయబడిన పనిని సృష్టిస్తుంది - ప్రతి లాగిన్ వద్ద లక్ష్యంగా ఉన్న AV ప్రక్రియలు స్వయంచాలకంగా చంపబడుతున్నాయని నిర్ధారిస్తుంది. మాల్వేర్ నెట్‌వర్క్ తనిఖీలను నిలిపివేయడానికి అనుగుణంగా విండోస్ రిజిస్ట్రీ ఎంట్రీలను కూడా సవరిస్తుంది, ఆపై దాని మార్పులు పూర్తయిన తర్వాత నెట్‌వర్క్ ఎడాప్టర్‌లను తిరిగి ప్రారంభిస్తుంది.

పేలోడ్ చైన్

ఇన్‌స్టాలర్ యొక్క ప్రాథమిక పాత్ర షెల్‌కోడ్‌ను అమలు చేయడం, ఇది హార్డ్-కోడెడ్ URL నుండి '2025.bin' అనే అస్పష్టమైన సెకండరీ షెల్‌కోడ్ ఫైల్‌ను పొందుతుంది మరియు అమలు చేస్తుంది. ఆ షెల్‌కోడ్ డౌన్‌లోడ్‌గా పనిచేస్తుంది మరియు 'output.log' అనే ఆర్టిఫ్యాక్ట్‌ను తిరిగి పొందుతుంది, ఇది రెండు జిప్ ఆర్కైవ్‌లను డౌన్‌లోడ్ చేయడానికి రెండు URL లను సంప్రదిస్తుంది:

• trx38.zip — చట్టబద్ధమైన ఎక్జిక్యూటబుల్‌తో పాటు DLL సైడ్‌లోడింగ్ ద్వారా ప్రారంభించబడే హానికరమైన DLLని కలిగి ఉంటుంది.
• p.zip — ఎన్‌క్రిప్టెడ్ ఫైనల్ పేలోడ్‌ను కలిగి ఉన్న longlq.cl అనే ఫైల్‌ను కలిగి ఉంటుంది.

ఈ మాల్వేర్ trx38.zip నుండి చట్టబద్ధమైన ఎక్జిక్యూటబుల్‌కు షార్ట్‌కట్‌ను సృష్టిస్తుంది, ఆ షార్ట్‌కట్‌ను యూజర్ యొక్క స్టార్టప్ ఫోల్డర్‌లో నిలకడ కోసం ఉంచుతుంది మరియు హానికరమైన DLLను సైడ్‌లోడ్ చేయడానికి చట్టబద్ధమైన ఎక్జిక్యూటబుల్‌ను అమలు చేస్తుంది. DLL longlq.clలో ఉన్న తుది పేలోడ్‌ను డీక్రిప్ట్ చేస్తుంది మరియు అమలు చేస్తుంది. ప్రచారం యొక్క చివరి పేలోడ్ ప్రచార సందర్భాన్ని బట్టి మారుతుంది; ఒక ధృవీకరించబడిన పేలోడ్ kkRAT.

kkRAT సామర్థ్యాలు (ఆదేశాలు, ప్లగిన్లు మరియు ప్రవర్తన)

kkRAT ఒక సాకెట్ ద్వారా C2 సర్వర్‌కు కనెక్ట్ అవుతుంది, ఇన్ఫెక్ట్ చేయబడిన హోస్ట్‌ను ప్రొఫైల్ చేస్తుంది మరియు విస్తృతమైన రిమోట్ కంట్రోల్ మరియు డేటా సేకరణను ప్రారంభించే ప్లగిన్‌లు మరియు ఆదేశాలను డౌన్‌లోడ్ చేస్తుంది. దీని గమనించిన సామర్థ్యాలు:

• స్క్రీన్ క్యాప్చర్ మరియు యూజర్ ఇన్‌పుట్ యొక్క అనుకరణ (కీబోర్డ్ మరియు మౌస్)
• క్లిప్‌బోర్డ్ కంటెంట్‌లను చదవడం మరియు సవరించడం (క్రిప్టోకరెన్సీ చిరునామా భర్తీకి ఉపయోగించబడుతుంది)
• రిమోట్ డెస్క్‌టాప్ కార్యాచరణను ప్రారంభించడం మరియు బ్రౌజర్‌లతో సహా అప్లికేషన్‌లను రిమోట్‌గా ప్రారంభించడం/మూసివేయడం
• ఇంటరాక్టివ్ షెల్ ద్వారా రిమోట్ కమాండ్ అమలు
• ఆన్-స్క్రీన్ విండోస్ నిర్వహణ మరియు ప్రాసెస్ జాబితాలు/ముగింపు
• క్రియాశీల నెట్‌వర్క్ కనెక్షన్‌లను లెక్కించడం
• ఇన్‌స్టాల్ చేయబడిన అప్లికేషన్‌లను జాబితా చేయడం మరియు ఎంచుకున్న సాఫ్ట్‌వేర్‌ను అన్‌ఇన్‌స్టాల్ చేయడం
• ఆటోరన్ రిజిస్ట్రీ విలువలను చదవడం మరియు ఆటోరన్ ఎంట్రీలను లెక్కించడం
• ట్రాఫిక్‌ను రూట్ చేయడానికి మరియు ఫైర్‌వాల్‌లు లేదా VPNలను సంభావ్యంగా దాటవేయడానికి SOCKS5 ప్రాక్సీగా పనిచేస్తుంది

kkRATలో కాపీ చేయబడిన క్రిప్టోకరెన్సీ వాలెట్ చిరునామాలను భర్తీ చేసే క్లిప్పర్ కార్యాచరణ మరియు వివిధ రకాల బ్రౌజర్‌లు మరియు మెసేజింగ్ యాప్‌ల నుండి డేటాను క్లియర్ చేయడానికి రొటీన్‌లు కూడా ఉన్నాయి (ఉదాహరణలు గమనించబడ్డాయి: 360 స్పీడ్ బ్రౌజర్, గూగుల్ క్రోమ్, ఇంటర్నెట్ ఎక్స్‌ప్లోరర్, మొజిల్లా ఫైర్‌ఫాక్స్, QQ బ్రౌజర్, సోగౌ ఎక్స్‌ప్లోరర్ మరియు టెలిగ్రామ్).

సారాంశం — దాడి ప్రచారం ఎందుకు ముఖ్యమైనది

ఈ ప్రచారం వీటిని కలపడం ద్వారా గుర్తించదగినది: చట్టబద్ధంగా కనిపించే GitHub పేజీల ద్వారా సామాజిక-ఇంజనీరింగ్ పంపిణీ; అధునాతన యాంటీ-విశ్లేషణ మరియు యాంటీ-AV పద్ధతులు (శాండ్‌బాక్స్/VM గుర్తింపు, RealBlindingEDR కోడ్‌ని ఉపయోగించి BYOVD); DLL సైడ్‌లోడింగ్ మరియు ఎన్‌క్రిప్టెడ్ పేలోడ్ కంటైనర్‌లను ఉపయోగించే బహుళ-దశల లోడర్; మరియు సమాచార దొంగతనం (క్లిప్‌బోర్డ్ హైజాకింగ్, స్క్రీన్ క్యాప్చర్, డేటా ఎక్స్‌ఫిల్ట్రేషన్) మరియు ఆపరేషనల్ టూలింగ్ (రిమోట్ మేనేజ్‌మెంట్ టూల్స్, ప్రాక్సీయింగ్) రెండింటికీ మద్దతు ఇచ్చే పూర్తిగా ఫీచర్ చేయబడిన RAT (kkRAT). మాడ్యులర్ ఆర్కిటెక్చర్ అంటే తుది పేలోడ్‌ను మార్చుకోవచ్చు, ఆపరేటర్లకు వశ్యతను పెంచుతుంది మరియు గుర్తింపు మరియు లక్షణాన్ని క్లిష్టతరం చేస్తుంది.