Шкідливе програмне забезпечення kkRAT

Дослідники Infosec виявили активну кампанію шкідливого програмного забезпечення, спрямовану на китайськомовних користувачів, яка використовує раніше недокументований троян віддаленого доступу під назвою kkRAT. Кампанія, схоже, триває з початку травня 2025 року та поєднує знайомі методи RAT з модульними завантажувачами та обманом, щоб уникнути виявлення та досягти стійкості.

ПОХОДЖЕННЯ ЗАГРОЗ ТА ПОСИЛАННЯ НА КОДОВІ ЛІНІЇ

Аналіз показує, що kkRAT значною мірою запозичує код у відомих сімейств: його мережевий протокол та деякі структури коду нагадують ті, що використовуються Gh0st RAT (Ghost RAT) та Big Bad Wolf (大灰狼), RAT, який історично використовувався китайськими кіберзлочинними групами. Автори додали додаткове шифрування поверх стиснення, створивши канал зв'язку, подібний до Ghost, з додатковим кроком шифрування.

СПОСІБ ДОСТАВКИ — ФЕЙКОВІ ІНСТАЛЯТОРИ, РОЗМІЩЕНІ НА СТОРІНКАХ GITHUB

Зловмисники розміщували на GitHub Pages фішингові сторінки, які видавали себе за популярні програми (наприклад, DingTalk), та доставляли три трояни через фальшиві інсталятори. Зловживаючи репутацією GitHub, оператори збільшили ймовірність того, що жертви довірятимуть інсталяторам та запускатимуть їх. Експерти зазначають, що обліковий запис GitHub, який використовувався для розміщення сторінок, більше не доступний.

ПОВЕДІНКА МОНТАЖНИКА

Під час запуску фальшивий інсталятор виконує кілька перевірок для виявлення ізольованих середовищ та віртуальних машин і намагається обійти засоби контролю безпеки. Він запитує права адміністратора; якщо їх надано, він перераховує та тимчасово вимикає активні мережеві адаптери — ця функція використовується для перешкоджання перевіркам мережі антивірусом та порушення нормальної роботи антивіруса під час внесення змін.

АНТИАВТОРСЬКІ ТЕХНІКИ

Шкідливе програмне забезпечення використовує техніку «Принеси власний вразливий драйвер» (BYOVD) для нейтралізації захисту кінцевих точок, повторно використовуючи код з проєкту з відкритим кодом RealBlindingEDR. Воно спеціально шукає та націлюється на такі пакети захисту для споживачів та підприємств:

360 пакет інтернет-безпеки

360 Повна Безпека

Пакет системної діагностики HeroBravo

Kingsoft Internet Security

QQ电脑管家

Після завершення відповідних антивірусних процесів інсталятор створює заплановане завдання, яке запускається з правами SYSTEM та виконує пакетний скрипт під час кожного входу користувача в систему, гарантуючи автоматичне завершення цільових антивірусних процесів під час кожного входу. Шкідливе програмне забезпечення також змінює записи реєстру Windows таким чином, щоб вимкнути мережеві перевірки, а потім знову вмикає мережеві адаптери після завершення змін.

ЛАНЦЮГ КОРИСНОГО ВАНТАЖУВАННЯ

Основна роль інсталятора полягає у запуску шелл-коду, який отримує та виконує завуальований вторинний файл шелл-коду з назвою «2025.bin» з жорстко закодованої URL-адреси. Цей шелл-код діє як завантажувач та отримує артефакт з назвою «output.log», який потім зв’язується з двома URL-адресами для завантаження двох ZIP-архівів:

• trx38.zip — містить легітимний виконуваний файл та шкідливу DLL-бібліотеку, яка запускається через непряме завантаження DLL.
• p.zip — містить файл під назвою longlq.cl, який містить зашифроване кінцеве корисне навантаження.

Шкідливе програмне забезпечення створює ярлик легітимного виконуваного файлу з trx38.zip, розміщує цей ярлик у папці автозавантаження користувача для зберігання та запускає легітимний виконуваний файл, завантажуючи шкідливу DLL-бібліотеку. DLL-бібліотека розшифровує та виконує остаточне корисне навантаження, що міститься в longliq.cl. Остаточне корисне навантаження кампанії залежить від екземпляра кампанії; одним підтвердженим корисним навантаженням є kkRAT.

МОЖЛИВОСТІ kkRAT (КОМАНДИ, ПЛАГІНИ ТА ПОВЕДІНКА)

kkRAT підключається до сервера C2 через сокет, створює профіль зараженого хоста та завантажує плагіни й команди, що дозволяють здійснювати розширене дистанційне керування та збір даних. Його спостережувані можливості включають:

• захоплення екрана та імітація введення користувачем (клавіатура та миша)
• читання та зміна вмісту буфера обміну (використовується для заміни адреси криптовалюти)
• увімкнення функціональності віддаленого робочого столу та запуск/віддалене закриття програм, включаючи браузери
• віддалене виконання команд через інтерактивну оболонку
• екранне керування Windows та списки/завершення процесів
• перерахування активних мережевих підключень
• список встановлених програм та видалення вибраного програмного забезпечення
• читання значень реєстру автозапуску та перерахування записів автозапуску
• діє як проксі-сервер SOCKS5 для маршрутизації трафіку та потенційного обходу брандмауерів або VPN

kkRAT також містить функцію кліпера, яка замінює скопійовані адреси криптовалютних гаманців, та процедури для очищення даних з низки браузерів та месенджерів (спостережувані приклади: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer та Telegram).

РЕЗЮМЕ — ЧОМУ ВАЖЛИВА АТАКУВАЛЬНА КАМПАНІЯ

Ця кампанія примітна поєднанням: розповсюдження за допомогою соціальної інженерії через сторінки GitHub, що виглядають легітимно; розширених методів антианалізу та антивірусної боротьби (виявлення пісочниці/віртуальної машини, BYOVD з використанням коду RealBlindingEDR); багатоетапного завантажувача, який використовує стороннє завантаження DLL та зашифровані контейнери корисного навантаження; та повнофункціональної RAT (kkRAT), яка підтримує як крадіжку інформації (викрадення буфера обміну, захоплення екрана, витік даних), так і операційні інструменти (інструменти віддаленого керування, проксування). Модульна архітектура означає, що кінцеве корисне навантаження можна замінювати, що підвищує гнучкість для операторів та ускладнює виявлення та атрибуцію.