KkRAT Kötü Amaçlı Yazılım
Bilgi güvenliği araştırmacıları, daha önce belgelenmemiş kkRAT adlı bir uzaktan erişim trojanını kullanan, Çince konuşan kullanıcıları hedef alan aktif bir kötü amaçlı yazılım kampanyası ortaya çıkardı. Görünüşe göre kampanya, Mayıs 2025'in başlarından beri devam ediyor ve tespit edilmekten kaçınmak ve kalıcılık sağlamak için bilinen RAT tekniklerini modüler yükleyiciler ve aldatmacayla birleştiriyor.
İçindekiler
TEHDİTLERİN KAYNAKLARI VE KOD SATIRI BAĞLANTILARI
Analizler, kkRAT'ın köklü ailelerden büyük ölçüde esinlendiğini gösteriyor: ağ protokolü ve bazı kod yapıları, Çin merkezli siber suç grupları tarafından geçmişte kullanılan bir RAT olan Gh0st RAT (Ghost RAT) ve Big Bad Wolf (大灰狼) tarafından kullanılanlara benziyor. Yazarlar, sıkıştırmanın üzerine ek şifreleme uygulayarak, ekstra bir şifreleme adımına sahip Ghost benzeri bir iletişim kanalı oluşturdular.
TESLİM YÖNTEMİ — GITHUB SAYFALARINDA BARINDIRILAN SAHTE YÜKLEYİCİLER
Saldırganlar, popüler uygulamaları (örneğin DingTalk) taklit eden kimlik avı sayfaları GitHub Sayfaları'nda barındırdılar ve sahte yükleyiciler aracılığıyla üç Truva atı gönderdiler. GitHub'ın itibarını kötüye kullanarak, operatörler kurbanların yükleyicilere güvenip çalıştırma olasılığını artırdı. Uzmanlar, sayfaları barındırmak için kullanılan GitHub hesabının artık kullanılamadığını belirtiyor.
YÜKLEYİCİ DAVRANIŞI
Sahte yükleyici çalıştırıldığında, deneme ortamlarını ve sanal makineleri tespit etmek için birden fazla kontrol gerçekleştirir ve güvenlik kontrollerini atlatmaya çalışır. Yönetici ayrıcalıkları ister; izin verilirse, etkin ağ bağdaştırıcılarını numaralandırır ve geçici olarak devre dışı bırakır. Bu özellik, antivirüs ağ kontrollerine müdahale etmek ve değişiklikleri yaparken normal antivirüs çalışmasını aksatmak için kullanılır.
AV ÖNLEME TEKNİKLERİ
Kötü amaçlı yazılım, uç nokta korumalarını etkisiz hale getirmek için "Kendi Güvenlik Açığı Sürücünüzü Getirin" (BYOVD) tekniğini kullanıyor ve RealBlindingEDR açık kaynaklı projesinden kodlar yeniden kullanıyor. Özellikle şu tüketici ve kurumsal koruma paketlerini arıyor ve hedefliyor:
360 İnternet Güvenlik paketi
360 Toplam Güvenlik
HeroBravo Sistem Tanılama paketi
Kingsoft İnternet Güvenliği
QQ电脑管家
İlgili antivirüs işlemlerini sonlandırdıktan sonra, yükleyici, her kullanıcı oturum açma işleminde bir toplu komut dosyası çalıştıran ve SİSTEM ayrıcalıklarıyla çalışan zamanlanmış bir görev oluşturur. Bu sayede hedeflenen antivirüs işlemleri her oturum açma işleminde otomatik olarak sonlandırılır. Kötü amaçlı yazılım ayrıca, ağ denetimlerini devre dışı bırakmaya uygun şekilde Windows Kayıt Defteri girdilerini değiştirir ve değişiklikleri tamamlandıktan sonra ağ bağdaştırıcılarını yeniden etkinleştirir.
YÜK ZİNCİRİ
Yükleyicinin birincil görevi, sabit kodlanmış bir URL'den '2025.bin' adlı gizlenmiş ikincil bir kabuk kodu dosyasını alıp çalıştıran kabuk kodunu çalıştırmaktır. Bu kabuk kodu bir indirici görevi görür ve 'output.log' adlı bir yapıt alır; ardından iki URL ile iletişime geçerek iki ZIP arşivini indirir:
- trx38.zip — meşru bir yürütülebilir dosyanın yanı sıra DLL yan yüklemesi yoluyla başlatılan kötü amaçlı bir DLL içerir.
- p.zip — şifrelenmiş son yükü tutan longlq.cl adlı bir dosya içerir.
Kötü amaçlı yazılım, trx38.zip dosyasındaki meşru yürütülebilir dosyaya bir kısayol oluşturur, bu kısayolu kalıcı olması için kullanıcının Başlangıç klasörüne yerleştirir ve meşru yürütülebilir dosyayı çalıştırarak kötü amaçlı DLL'yi yan yüklemesini sağlar. DLL, longlq.cl dosyasında bulunan son yükü şifresini çözer ve çalıştırır. Kampanyanın son yükü, kampanya örneğine göre değişir; onaylanan yüklerden biri kkRAT'tır.
kkRAT YETENEKLERİ (KOMUTALAR, EKLENTİLER VE DAVRANIŞ)
kkRAT, bir soket üzerinden bir C2 sunucusuna bağlanır, enfekte olmuş sunucunun profilini çıkarır ve kapsamlı uzaktan kontrol ve veri toplama olanağı sağlayan eklentileri ve komutları indirir. Gözlemlenen yetenekleri şunlardır:
- ekran görüntüsü alma ve kullanıcı girişinin simülasyonu (klavye ve fare)
- pano içeriğini okuma ve değiştirme (kripto para adresi değiştirme için kullanılır)
- uzak masaüstü işlevselliğini etkinleştirme ve tarayıcılar dahil olmak üzere uygulamaları başlatma/uzaktan kapatma
- etkileşimli bir kabuk aracılığıyla uzaktan komut yürütme
- ekran üstü Windows yönetimi ve işlem listeleri/sonlandırma
- etkin ağ bağlantılarını numaralandırma
- yüklü uygulamaları listeleme ve seçili yazılımları kaldırma
- otomatik çalıştırma Kayıt defteri değerlerini okuma ve otomatik çalıştırma girdilerini numaralandırma
- trafiği yönlendirmek ve potansiyel olarak güvenlik duvarlarını veya VPN'leri atlatmak için bir SOCKS5 proxy'si olarak hareket eder
- Sunlogin ve GotoHTTP gibi uzaktan yönetim araçlarının kurulumu ve dağıtımı
- kalıcılık mekanizmaları ve eklentileri ve operasyonel işlevleri çağırmak için geniş bir komut kümesi
kkRAT ayrıca kopyalanan kripto para cüzdan adreslerinin yerini alan kesme işlevini ve çeşitli tarayıcılardan ve mesajlaşma uygulamalarından verileri temizleme rutinlerini de içerir (gözlemlenen örnekler: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer ve Telegram).
ÖZET — SALDIRI KAMPANYASI NEDEN ÖNEMLİDİR?
Bu kampanya, şunları bir araya getirmesiyle dikkat çekiyor: meşru görünümlü GitHub Sayfaları aracılığıyla sosyal mühendislik dağıtımı; gelişmiş anti-analiz ve anti-AV teknikleri (koruma alanı/VM tespiti, RealBlindingEDR kodu kullanarak BYOVD); DLL yan yükleme ve şifreli yük konteynerleri kullanan çok aşamalı bir yükleyici; ve hem bilgi hırsızlığını (pano ele geçirme, ekran görüntüsü alma, veri sızdırma) hem de operasyonel araçları (uzaktan yönetim araçları, proxy) destekleyen tam özellikli bir RAT (kkRAT). Modüler mimari, nihai yükün değiştirilebilmesini sağlayarak operatörler için esnekliği artırırken tespit ve atıf işlemlerini de karmaşıklaştırıyor.
