KkRAT 惡意軟體
資訊安全研究人員發現了一個針對中文使用者的惡意軟體活動,該活動使用了一種先前未記錄的遠端存取木馬(kkRAT)。該活動似乎自 2025 年 5 月初開始運行,並結合了常見的 RAT 技術、模組化載入器和欺騙手段,以逃避檢測並實現持久化。
目錄
威脅來源和代碼線鏈接
分析顯示,kkRAT 大量借鑒了現有家族的攻擊方式:其網路協定和部分程式碼結構與 Gh0st RAT(幽靈 RAT)和 Big Bad Wolf(大野狼)類似,後者曾被中國網路犯罪集團使用。作者在壓縮的基礎上添加了額外的加密,構建了一個類似幽靈 RAT 的通訊通道,並額外添加了加密步驟。
交付方式-在 GitHub 頁面上託管的虛假安裝程序
攻擊者在 GitHub Pages 上託管釣魚頁面,冒充熱門應用程式(例如釘釘),並透過虛假安裝程式傳播三個木馬病毒。透過濫用 GitHub 的聲譽,攻擊者提高了受害者信任並執行安裝程式的可能性。專家指出,用於託管這些頁面的 GitHub 帳戶已失效。
安裝程式行為
偽造的安裝程序在執行時會執行多項檢查,以偵測沙盒環境和虛擬機,並嘗試繞過安全控制。它會提示輸入管理員權限;如果獲得權限,它會枚舉並暫時停用活動的網路介面卡——此功能用於幹擾防毒網路檢查,並在執行變更時中斷正常的防毒操作。
反殺毒技術
該惡意軟體使用自帶漏洞驅動程式 (BYOVD) 技術來破壞端點保護,並重複使用 RealBlindingEDR 開源專案的程式碼。它專門搜尋並攻擊以下消費者和企業保護套件:
360網路安全套件
360全方位安全
HeroBravo 系統診斷套件
金山毒霸
QQ電腦管家
在終止相關的防毒進程後,安裝程式會建立以 SYSTEM 權限執行的排程任務,該任務會在每次使用者登入時執行批次腳本,確保每次登入時自動終止目標 AV 進程。該惡意軟體也會以停用網路檢查的方式修改 Windows 登錄項,然後在修改完成後重新啟用網路介面卡。
有效載荷鏈
安裝程式的主要作用是執行shellcode,它會從硬編碼的URL取得並執行一個名為「2025.bin」的混淆二級shellcode檔案。該shellcode充當下載器,檢索名為「output.log」的構件,然後該構件會聯絡兩個URL下載兩個ZIP壓縮包:
- trx38.zip — 包含合法的可執行檔以及透過 DLL 側載入啟動的惡意 DLL。
- p.zip — 包含一個名為 longlq.cl 的文件,其中包含加密的最終有效載荷。
該惡意軟體會建立指向 trx38.zip 中合法可執行文件的快捷方式,並將該快捷方式放置在用戶的「啟動」資料夾中以保持持久性,然後運行該合法可執行文件,從而側載惡意 DLL。該 DLL 會解密並執行 longlq.cl 中包含的最終有效載荷。此攻擊活動的最終有效載荷因攻擊活動實例而異;其中一個已確認的有效載荷是 kkRAT。
kkRAT 功能(指令、外掛程式和行為)
kkRAT 透過套接字連接到 C2 伺服器,對受感染的主機進行分析,並下載可實現廣泛遠端控制和資料收集的插件和命令。其功能包括:
- 螢幕擷取和使用者輸入模擬(鍵盤和滑鼠)
- 讀取和修改剪貼簿內容(用於加密貨幣位址替換)
- 啟用遠端桌面功能並啟動/遠端關閉應用程序,包括瀏覽器
- 透過互動式 shell 執行遠端命令
- 螢幕 Windows 管理和進程清單/終止
- 枚舉活動網路連接
- 列出已安裝的應用程式並卸載選定的軟體
- 讀取自動運行註冊表值並枚舉自動運行條目
- 充當 SOCKS5 代理來路由流量並可能繞過防火牆或 VPN
kkRAT 還包含剪輯功能,可以取代複製的加密貨幣錢包位址,以及從一系列瀏覽器和訊息應用程式中清除資料的例程(觀察範例:360 極速瀏覽器、Google Chrome、Internet Explorer、Mozilla Firefox、QQ 瀏覽器、搜狗瀏覽器和 Telegram)。
摘要 — 這次攻擊活動為何意義重大
這次攻擊活動以其以下特點而引人注目:透過看似合法的 GitHub Pages 進行社會工程學分發;先進的反分析和反殺毒技術(沙盒/虛擬機檢測、使用 RealBlindingEDR 代碼的 BYOVD);使用 DLL 側載和加密載荷容器的多階段加載器;以及功能齊全的 RAT(cRAT),支援資訊來竊取設備(kkRAT)。模組化架構意味著最終負載可以互換,從而提高了操作人員的靈活性,並使檢測和歸因變得更加複雜。
