Multi-License Discount Quote
Banta sa Database Malware KkRAT Malware

KkRAT Malware

Sa pamamagitan ng Mezo sa Malware, Remote Administration Tools
Isalin To:

Natuklasan ng mga mananaliksik ng Infosec ang isang aktibong malware campaign na naglalayong sa mga user na nagsasalita ng Chinese na gumagamit ng dati nang hindi dokumentado na remote access na trojan na tinatawag na kkRAT. Lumilitaw na tumatakbo ang campaign mula noong unang bahagi ng Mayo 2025 at pinagsasama ang pamilyar na mga diskarte sa RAT sa mga modular loader at panlilinlang upang maiwasan ang pagtuklas at makamit ang pagtitiyaga.

MGA PINAGMULAN NG BANTA AT MGA LINK NG CODELINE

Ipinapakita ng pagsusuri na ang kkRAT ay labis na humihiram mula sa mga naitatag na pamilya: ang network protocol nito at ang ilang mga istruktura ng code ay katulad ng ginamit ng Gh0st RAT (Ghost RAT) at Big Bad Wolf (大灰狼), isang RAT na dating ginagamit ng mga cybercriminal group na nakabase sa China. Ang mga may-akda ay naglagay ng karagdagang pag-encrypt sa ibabaw ng compression, na gumagawa ng isang Ghost-like na channel ng komunikasyon na may karagdagang hakbang sa pag-encrypt.

PARAAN NG PAGHAHATID — MGA PEKE NA INSTALLER NA NA-HOS SA GITHUB PAGES

Ang mga aktor ay nagho-host ng mga pahina ng phishing sa Mga Pahina ng GitHub na nagpapanggap bilang mga sikat na application (halimbawa, DingTalk) at naghatid ng tatlong trojan sa pamamagitan ng mga pekeng installer. Sa pamamagitan ng pang-aabuso sa reputasyon ng GitHub, pinalaki ng mga operator ang posibilidad na mapagkakatiwalaan at patakbuhin ng mga biktima ang mga installer. Pansinin ng mga eksperto na ang GitHub account na ginamit para i-host ang mga page ay hindi na available.

UGALI NG INSTALLER

Kapag naisakatuparan, ang pekeng installer ay nagsasagawa ng maraming pagsusuri upang makita ang mga kapaligiran ng sandbox at mga virtual machine at sinusubukang i-bypass ang mga kontrol sa seguridad. Nag-uudyok ito para sa mga pribilehiyo ng administrator; kung ipagkakaloob, binibilang nito at pansamantalang hindi pinapagana ang mga aktibong adaptor ng network — isang kakayahan na ginagamit upang makagambala sa mga pagsusuri sa network ng antivirus at upang maantala ang normal na operasyon ng AV habang nagpapatuloy ito sa mga pagbabago nito.

ANTI-AV TECHNIQUES

Gumagamit ang malware ng diskarteng Bring-Your-Own-Vulnerable-Driver (BYOVD) upang i-neutralize ang mga proteksyon sa endpoint, gamit muli ang code mula sa RealBlindingEDR open-source na proyekto. Partikular nitong hinahanap at tina-target ang mga suite ng proteksyon ng consumer at enterprise na ito:

360 Internet Security suite

360 Kabuuang Seguridad

HeroBravo System Diagnostics suite

Kingsoft Internet Security

QQ电脑管家

Pagkatapos wakasan ang mga nauugnay na proseso ng antivirus, gagawa ang installer ng isang naka-iskedyul na gawain na tumatakbo na may mga pribilehiyo ng SYSTEM na nagpapatupad ng isang batch script sa bawat logon ng user — tinitiyak na ang mga naka-target na proseso ng AV ay awtomatikong pinapatay sa bawat pag-login. Binabago din ng malware ang mga entry sa Windows Registry sa mga paraan na naaayon sa hindi pagpapagana ng mga pagsusuri sa network, pagkatapos ay muling i-enable ang mga adapter ng network kapag kumpleto na ang mga pagbabago nito.

PAYLOAD CHAIN

Ang pangunahing tungkulin ng installer ay patakbuhin ang shellcode, na kumukuha at nagpapatupad ng na-obfuscate na pangalawang shellcode file na pinangalanang '2025.bin' mula sa isang hard-coded na URL. Ang shellcode na iyon ay gumaganap bilang isang downloader at kinukuha ang isang artifact na pinangalanang 'output.log,' na pagkatapos ay nakikipag-ugnayan sa dalawang URL upang mag-download ng dalawang ZIP archive:

  • trx38.zip — naglalaman ng isang lehitimong executable at isang nakakahamak na DLL na inilunsad sa pamamagitan ng DLL sideloading.
  • p.zip — naglalaman ng file na tinatawag na longlq.cl na mayroong naka-encrypt na final payload.

Gumagawa ang malware ng shortcut patungo sa lehitimong executable mula sa trx38.zip, mga lugar na nag-shortcut sa Startup folder ng user para sa pagtitiyaga, at nagpapatakbo ng lehitimong executable upang mai-sideload nito ang nakakahamak na DLL. Ang DLL ay nagde-decrypt at nagpapatupad ng huling payload na nasa longlq.cl. Ang huling kargamento ng kampanya ay nag-iiba ayon sa halimbawa ng kampanya; isang kumpirmadong payload ay kkRAT.

MGA KAKAYAHAN ng kkRAT (MGA UTOS, MGA PLUGIN, AT UGALI)

Kumokonekta ang kkRAT sa isang C2 server sa isang socket, pinoprofile ang infected na host, at nagda-download ng mga plugin at command na nagbibigay-daan sa malawak na remote control at pangongolekta ng data. Ang mga naobserbahang kakayahan nito ay kinabibilangan ng:

  • screen capture at simulation ng user input (keyboard at mouse)
  • pagbabasa at pagbabago ng mga nilalaman ng clipboard (ginagamit para sa pagpapalit ng address ng cryptocurrency)
  • pagpapagana ng remote desktop functionality at paglulunsad/malayuang pagsasara ng mga application, kabilang ang mga browser
  • remote command execution sa pamamagitan ng interactive na shell
  • on-screen na pamamahala sa Windows at mga listahan/pagwawakas ng proseso
  • pag-enumerate ng mga aktibong koneksyon sa network
  • listahan ng mga naka-install na application at pag-uninstall ng napiling software
  • pagbabasa ng mga halaga ng autorun Registry at pag-enumerate ng mga entry ng autorun
  • kumikilos bilang isang proxy ng SOCKS5 upang iruta ang trapiko at posibleng i-bypass ang mga firewall o VPN
  • pag-install at pag-deploy ng mga remote na tool sa pamamahala gaya ng Sunlogin at GotoHTTP
  • mga mekanismo ng pagtitiyaga at isang malawak na hanay ng mga utos para mag-invoke ng mga plugin at pagpapatakbo ng mga function

    • Naglalaman din ang kkRAT ng clipper functionality na pumapalit sa mga nakopyang cryptocurrency wallet address, at mga routine para i-clear ang data mula sa isang hanay ng mga browser at messaging app (mga halimbawang naobserbahan: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer, at Telegram).

    BUOD — BAKIT MAHALAGA ANG ATTACK CAMPAIGN

    Kapansin-pansin ang kampanyang ito sa pagsasama-sama ng: pamamahagi ng social-engineering sa pamamagitan ng mga lehitimong GitHub Pages; advanced na anti-analysis at anti-AV techniques (sandbox/VM detection, BYOVD gamit ang RealBlindingEDR code); isang multi-stage loader na gumagamit ng DLL sideloading at naka-encrypt na mga lalagyan ng payload; at isang ganap na tampok na RAT (kkRAT) na sumusuporta sa parehong pagnanakaw ng impormasyon (pag-hijack ng clipboard, pag-capture ng screen, pag-exfiltrate ng data) at pag-andar ng pagpapatakbo (mga remote na tool sa pamamahala, proxying). Ang modular na arkitektura ay nangangahulugan na ang huling kargamento ay maaaring palitan, na nagdaragdag ng flexibility para sa mga operator at nagpapalubha ng pagtuklas at pagpapatungkol.

    Trending

    Pinaka Nanood

    Naglo-load...