มัลแวร์ kkRAT

นักวิจัยด้านความปลอดภัยสารสนเทศ (Infosec) ได้ค้นพบแคมเปญมัลแวร์ที่กำลังดำเนินการอยู่ ซึ่งมุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาจีน โดยใช้โทรจันการเข้าถึงระยะไกลที่ยังไม่มีการบันทึกมาก่อน ชื่อ kkRAT แคมเปญนี้ดูเหมือนจะเริ่มดำเนินการมาตั้งแต่ต้นเดือนพฤษภาคม 2568 และผสมผสานเทคนิค RAT ที่คุ้นเคยเข้ากับตัวโหลดแบบโมดูลาร์และการหลอกลวง เพื่อหลบเลี่ยงการตรวจจับและบรรลุผลสำเร็จในการคงอยู่

ต้นกำเนิดของภัยคุกคามและลิงก์โค้ดไลน์

การวิเคราะห์แสดงให้เห็นว่า kkRAT ยืมแนวคิดมาจากตระกูลที่ได้รับการยอมรับอย่างกว้างขวาง โปรโตคอลเครือข่ายและโครงสร้างโค้ดบางส่วนคล้ายคลึงกับที่ Gh0st RAT (Ghost RAT) และ Big Bad Wolf (大灰狼) ซึ่งเป็น RAT ที่กลุ่มอาชญากรไซเบอร์ในจีนเคยใช้ในอดีต ผู้เขียนได้เพิ่มการเข้ารหัสเพิ่มเติมทับบนการบีบอัดข้อมูล ทำให้เกิดช่องทางการสื่อสารแบบ Ghost ที่มีขั้นตอนการเข้ารหัสเพิ่มเติม

วิธีการจัดส่ง — ตัวติดตั้งปลอมที่โฮสต์บนหน้า GITHUB

ผู้กระทำความผิดได้โฮสต์เพจฟิชชิ่งบน GitHub Pages ซึ่งปลอมแปลงเป็นแอปพลิเคชันยอดนิยม (เช่น DingTalk) และส่งโทรจันสามตัวผ่านตัวติดตั้งปลอม การละเมิดชื่อเสียงของ GitHub ทำให้ผู้ดำเนินการเพิ่มโอกาสที่เหยื่อจะเชื่อถือและเรียกใช้ตัวติดตั้ง ผู้เชี่ยวชาญระบุว่าบัญชี GitHub ที่ใช้โฮสต์เพจเหล่านี้ไม่สามารถใช้งานได้อีกต่อไป

พฤติกรรมการติดตั้ง

เมื่อดำเนินการ ตัวติดตั้งปลอมจะทำการตรวจสอบหลายครั้งเพื่อตรวจจับสภาพแวดล้อมแบบแซนด์บ็อกซ์และเครื่องเสมือน และพยายามหลีกเลี่ยงการควบคุมความปลอดภัย โดยจะขอสิทธิ์ผู้ดูแลระบบ หากได้รับสิทธิ์ ระบบจะระบุและปิดใช้งานอะแดปเตอร์เครือข่ายที่ใช้งานอยู่ชั่วคราว ซึ่งเป็นความสามารถที่ใช้เพื่อแทรกแซงการตรวจสอบเครือข่ายของโปรแกรมป้องกันไวรัส และขัดขวางการทำงานของโปรแกรมป้องกันไวรัสตามปกติในขณะที่กำลังดำเนินการเปลี่ยนแปลง

เทคนิคต่อต้าน AV

มัลแวร์นี้ใช้เทคนิค Bring-Your-Own-Vulnerable-Driver (BYOVD) เพื่อทำลายการป้องกันอุปกรณ์ปลายทาง โดยนำโค้ดจากโครงการโอเพนซอร์ส RealBlindingEDR กลับมาใช้ใหม่ โดยจะค้นหาและกำหนดเป้าหมายชุดการป้องกันสำหรับผู้บริโภคและองค์กรเหล่านี้โดยเฉพาะ:

ชุดรักษาความปลอดภัยอินเทอร์เน็ต 360

360 Total Security

ชุดการวินิจฉัยระบบ HeroBravo

คิงซอฟท์ อินเตอร์เน็ต ซีเคียวริตี้

QQ电脑管家

หลังจากยุติกระบวนการป้องกันไวรัสที่เกี่ยวข้องแล้ว ตัวติดตั้งจะสร้างงานตามกำหนดเวลาที่ทำงานด้วยสิทธิ์ SYSTEM ซึ่งจะรันสคริปต์ชุดคำสั่งเมื่อผู้ใช้แต่ละคนเข้าสู่ระบบ เพื่อให้แน่ใจว่ากระบวนการป้องกันไวรัสเป้าหมายจะถูกปิดโดยอัตโนมัติทุกครั้งที่เข้าสู่ระบบ มัลแวร์ยังแก้ไขรายการรีจิสทรีของ Windows ในลักษณะที่สอดคล้องกับการปิดใช้งานการตรวจสอบเครือข่าย จากนั้นจึงเปิดใช้งานอะแดปเตอร์เครือข่ายอีกครั้งเมื่อการแก้ไขเสร็จสิ้น

โซ่บรรทุก

บทบาทหลักของตัวติดตั้งคือการเรียกใช้ shellcode ซึ่งจะดึงและดำเนินการไฟล์ shellcode รองที่ซ่อนไว้ชื่อ '2025.bin' จาก URL ที่ฮาร์ดโค้ด shellcode ดังกล่าวทำหน้าที่เป็นตัวดาวน์โหลดและดึงข้อมูลอาร์ทิแฟกต์ชื่อ 'output.log' ซึ่งจะเชื่อมต่อกับ URL สองแห่งเพื่อดาวน์โหลดไฟล์ ZIP สองไฟล์:

• trx38.zip — มีไฟล์ปฏิบัติการที่ถูกต้องตามกฎหมายและ DLL ที่เป็นอันตรายซึ่งเปิดใช้งานผ่านการโหลด DLL ด้านข้าง
• p.zip — มีไฟล์ชื่อ longlq.cl ที่เก็บเนื้อหาสุดท้ายที่เข้ารหัสไว้

มัลแวร์สร้างทางลัดไปยังไฟล์ปฏิบัติการที่ถูกต้องจากไฟล์ trx38.zip วางทางลัดนั้นไว้ในโฟลเดอร์ Startup ของผู้ใช้เพื่อคงสถานะการทำงานไว้ และรันไฟล์ปฏิบัติการที่ถูกต้องเพื่อไซด์โหลดไฟล์ DLL ที่เป็นอันตราย DLL นี้จะถอดรหัสและรันเพย์โหลดสุดท้ายที่อยู่ในไฟล์ longlq.cl เพย์โหลดสุดท้ายของแคมเปญจะแตกต่างกันไปตามแต่ละอินสแตนซ์ของแคมเปญ โดยเพย์โหลดที่ได้รับการยืนยันหนึ่งรายการคือ kkRAT

ความสามารถของ kkRAT (คำสั่ง ปลั๊กอิน และพฤติกรรม)

kkRAT เชื่อมต่อกับเซิร์ฟเวอร์ C2 ผ่านซ็อกเก็ต จัดทำโปรไฟล์โฮสต์ที่ติดไวรัส และดาวน์โหลดปลั๊กอินและคำสั่งต่างๆ ที่ช่วยให้สามารถควบคุมและรวบรวมข้อมูลจากระยะไกลได้อย่างครอบคลุม ความสามารถที่สังเกตได้ประกอบด้วย:

• การจับภาพหน้าจอและการจำลองการป้อนข้อมูลของผู้ใช้ (คีย์บอร์ดและเมาส์)
• การอ่านและแก้ไขเนื้อหาคลิปบอร์ด (ใช้สำหรับการแทนที่ที่อยู่สกุลเงินดิจิทัล)
• การเปิดใช้งานฟังก์ชันเดสก์ท็อประยะไกลและการเปิด/ปิดแอปพลิเคชันจากระยะไกล รวมถึงเบราว์เซอร์
• การดำเนินการคำสั่งระยะไกลผ่านเชลล์แบบโต้ตอบ
• การจัดการ Windows บนหน้าจอและรายการ/การยุติกระบวนการ
• การนับจำนวนการเชื่อมต่อเครือข่ายที่ใช้งานอยู่
• รายชื่อแอปพลิเคชันที่ติดตั้งและถอนการติดตั้งซอฟต์แวร์ที่เลือก
• การอ่านค่ารีจิสทรีการรันอัตโนมัติและการระบุรายการการรันอัตโนมัติ
• ทำหน้าที่เป็นพร็อกซี SOCKS5 เพื่อกำหนดเส้นทางการรับส่งข้อมูลและอาจหลีกเลี่ยงไฟร์วอลล์หรือ VPN

kkRAT ยังมีฟังก์ชันคลิปเปอร์ที่แทนที่ที่อยู่กระเป๋าเงินสกุลเงินดิจิทัลที่คัดลอกมา และกิจวัตรในการล้างข้อมูลจากเบราว์เซอร์และแอปส่งข้อความต่างๆ (ตัวอย่างที่พบ: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer และ Telegram)

สรุป — เหตุใดแคมเปญโจมตีจึงมีความสำคัญ

แคมเปญนี้โดดเด่นด้วยการผสมผสาน: การเผยแพร่ทางวิศวกรรมสังคมผ่าน GitHub Pages ที่ดูน่าเชื่อถือ; เทคนิคการป้องกันการวิเคราะห์และป้องกัน AV ขั้นสูง (การตรวจจับแซนด์บ็อกซ์/VM, BYOVD โดยใช้โค้ด RealBlindingEDR); ตัวโหลดแบบหลายขั้นตอนที่ใช้ DLL sideloading และคอนเทนเนอร์เพย์โหลดที่เข้ารหัส; และ RAT ที่มีฟีเจอร์ครบครัน (kkRAT) ที่รองรับทั้งการขโมยข้อมูล (การแฮ็กคลิปบอร์ด การจับภาพหน้าจอ การขโมยข้อมูล) และเครื่องมือปฏิบัติการ (เครื่องมือจัดการระยะไกล พร็อกซี) สถาปัตยกรรมแบบโมดูลาร์หมายความว่าเพย์โหลดสุดท้ายสามารถสลับกันได้ ซึ่งเพิ่มความยืดหยุ่นให้กับผู้ปฏิบัติงานและทำให้การตรวจจับและการระบุแหล่งที่มามีความซับซ้อนมากขึ้น