Phần mềm độc hại kkRAT

Các nhà nghiên cứu Infosec đã phát hiện ra một chiến dịch phần mềm độc hại đang hoạt động nhắm vào người dùng nói tiếng Trung Quốc, sử dụng trojan truy cập từ xa chưa được ghi nhận trước đây có tên kkRAT. Chiến dịch này dường như đã diễn ra từ đầu tháng 5 năm 2025 và kết hợp các kỹ thuật RAT quen thuộc với trình tải mô-đun và thủ đoạn lừa đảo để tránh bị phát hiện và duy trì hoạt động.

NGUỒN GỐC CỦA MỐI ĐE DỌA VÀ LIÊN KẾT CODELINE

Phân tích cho thấy kkRAT vay mượn rất nhiều từ các dòng mã độc đã có từ trước: giao thức mạng và một số cấu trúc mã của nó tương tự như giao thức được sử dụng bởi Gh0st RAT (Ghost RAT) và Big Bad Wolf (大灰狼), một RAT trước đây được các nhóm tội phạm mạng ở Trung Quốc sử dụng. Các tác giả đã thêm lớp mã hóa bổ sung vào lớp nén, tạo ra một kênh liên lạc giống Ghost với một bước mã hóa bổ sung.

PHƯƠNG THỨC GIAO HÀNG — TRÌNH CÀI ĐẶT GIẢ ĐƯỢC LƯU TRỮ TRÊN CÁC TRANG GITHUB

Kẻ tấn công đã lưu trữ các trang lừa đảo trên GitHub Pages, giả mạo các ứng dụng phổ biến (ví dụ: DingTalk) và phát tán ba trojan thông qua trình cài đặt giả mạo. Bằng cách lợi dụng uy tín của GitHub, kẻ tấn công đã làm tăng khả năng nạn nhân tin tưởng và chạy các trình cài đặt giả mạo. Các chuyên gia lưu ý rằng tài khoản GitHub được sử dụng để lưu trữ các trang này hiện không còn khả dụng.

HÀNH VI CỦA NGƯỜI CÀI ĐẶT

Khi được thực thi, trình cài đặt giả mạo sẽ thực hiện nhiều lần kiểm tra để phát hiện môi trường hộp cát và máy ảo, đồng thời cố gắng vượt qua các biện pháp kiểm soát bảo mật. Nó yêu cầu quyền quản trị viên; nếu được cấp, nó sẽ liệt kê và tạm thời vô hiệu hóa các bộ điều hợp mạng đang hoạt động — một khả năng được sử dụng để can thiệp vào các lần kiểm tra mạng của phần mềm diệt vi-rút và làm gián đoạn hoạt động bình thường của phần mềm diệt vi-rút trong khi nó tiến hành các thay đổi.

KỸ THUẬT CHỐNG AV

Phần mềm độc hại này sử dụng kỹ thuật "Bring-Your-Own-Vulnerable-Driver" (BYOVD) để vô hiệu hóa các biện pháp bảo vệ điểm cuối, bằng cách sử dụng lại mã từ dự án nguồn mở RealBlindingEDR. Nó đặc biệt tìm kiếm và nhắm mục tiêu vào các bộ bảo vệ dành cho người tiêu dùng và doanh nghiệp sau:

Bộ bảo mật Internet 360

360 Tổng bảo mật

Bộ chẩn đoán hệ thống HeroBravo

Kingsoft Internet Security

QQ công cụ

Sau khi chấm dứt các tiến trình diệt virus liên quan, trình cài đặt sẽ tạo một tác vụ theo lịch trình chạy với đặc quyền HỆ THỐNG, thực thi một tập lệnh hàng loạt mỗi khi người dùng đăng nhập — đảm bảo các tiến trình diệt virus mục tiêu bị tự động tắt mỗi lần đăng nhập. Phần mềm độc hại cũng sửa đổi các mục nhập Windows Registry theo cách tương tự như việc vô hiệu hóa kiểm tra mạng, sau đó bật lại bộ điều hợp mạng sau khi hoàn tất việc sửa đổi.

CHUỖI TẢI TRỌNG

Vai trò chính của trình cài đặt là chạy shellcode, lấy và thực thi một tệp shellcode thứ cấp được mã hóa có tên '2025.bin' từ một URL được mã hóa cứng. Shellcode đó hoạt động như một trình tải xuống và truy xuất một hiện vật có tên 'output.log', sau đó liên hệ với hai URL để tải xuống hai tệp ZIP:

• trx38.zip — chứa một tệp thực thi hợp lệ cùng với một DLL độc hại được khởi chạy thông qua quá trình tải DLL.
• p.zip — chứa một tệp có tên là longlq.cl chứa dữ liệu cuối cùng được mã hóa.

Phần mềm độc hại tạo một lối tắt đến tệp thực thi hợp lệ từ trx38.zip, đặt lối tắt đó vào thư mục Khởi động của người dùng để duy trì hoạt động, và chạy tệp thực thi hợp lệ để tải DLL độc hại. DLL giải mã và thực thi payload cuối cùng chứa trong longlq.cl. Payload cuối cùng của chiến dịch thay đổi tùy theo từng phiên bản chiến dịch; một payload đã được xác nhận là kkRAT.

KHẢ NĂNG CỦA kkRAT (LỆNH, PLUGIN VÀ HÀNH VI)

kkRAT kết nối với máy chủ C2 qua socket, lập hồ sơ máy chủ bị nhiễm và tải xuống các plugin và lệnh cho phép điều khiển từ xa và thu thập dữ liệu mở rộng. Các khả năng được quan sát thấy của nó bao gồm:

• chụp màn hình và mô phỏng đầu vào của người dùng (bàn phím và chuột)
• đọc và sửa đổi nội dung clipboard (được sử dụng để thay thế địa chỉ tiền điện tử)
• bật chức năng máy tính từ xa và khởi chạy/đóng ứng dụng từ xa, bao gồm cả trình duyệt
• thực thi lệnh từ xa thông qua một shell tương tác
• quản lý Windows trên màn hình và liệt kê/chấm dứt quy trình
• liệt kê các kết nối mạng đang hoạt động
• liệt kê các ứng dụng đã cài đặt và gỡ cài đặt phần mềm đã chọn
• đọc các giá trị Registry tự động chạy và liệt kê các mục nhập tự động chạy
• hoạt động như một proxy SOCKS5 để định tuyến lưu lượng truy cập và có khả năng vượt qua tường lửa hoặc VPN

• cài đặt và triển khai các công cụ quản lý từ xa như Sunlogin và GotoHTTP

• cơ chế duy trì và một tập hợp lệnh rộng để gọi các plugin và chức năng hoạt động

kkRAT cũng chứa chức năng cắt thay thế các địa chỉ ví tiền điện tử đã sao chép và các thói quen xóa dữ liệu khỏi nhiều trình duyệt và ứng dụng nhắn tin (ví dụ được quan sát: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer và Telegram).

TÓM TẮT — TẠI SAO CHIẾN DỊCH TẤN CÔNG LẠI QUAN TRỌNG

Chiến dịch này đáng chú ý vì kết hợp: phát tán kỹ thuật xã hội thông qua các trang GitHub trông có vẻ hợp pháp; các kỹ thuật chống phân tích và chống AV tiên tiến (phát hiện hộp cát/máy ảo, BYOVD sử dụng mã RealBlindingEDR); một trình tải đa giai đoạn sử dụng tải phụ DLL và các thùng chứa tải trọng được mã hóa; và một RAT đầy đủ tính năng (kkRAT) hỗ trợ cả việc đánh cắp thông tin (chiếm đoạt clipboard, chụp màn hình, trích xuất dữ liệu) và công cụ vận hành (công cụ quản lý từ xa, proxy). Kiến trúc mô-đun cho phép tải trọng cuối cùng có thể được hoán đổi, tăng tính linh hoạt cho người vận hành và làm phức tạp việc phát hiện và quy kết.