Zscaler ThreatLabZ выявил целенаправленную кампанию распространения вредоносного ПО, ориентированную на пользователей, говорящих на китайском языке. Активность наблюдается с мая 2025 года и задействует сразу три семейства RAT: kkRAT (новая), ValleyRAT и FatalRAT. Особое внимание исследователей привлек kkRAT — он демонстрирует сходства по коду и сетевым механизмам с ранее известными инструментами, такими как Ghost RAT и Big Bad Wolf.
Ключевые факты
- Период активности: с мая 2025 года.
- Цель — пользователи китайскоязычных регионов, доставка через поддельные страницы установщика, имитирующие популярное ПО.
- Задействованные семействa: kkRAT, ValleyRAT, FatalRAT.
- Используемые техники: BYOVD (Bring Your Own Vulnerable Driver), сложная эвристика обнаружения VM/песочниц, отключение сетевых адаптеров, шифрование каналов и плагинов.
Как распространяется и запускается вредоносное ПО
Атаки осуществляются через поддельные страницы установщиков, маскирующиеся под легитимное ПО. После запуска вредоносного ПО выполняется серия проверок и этапов, направленных на обеспечение уклонения от анализа и устойчивой инфраструктуры управления.
Этапы атаки
- Определение окружения: malware проверяет, запущена ли система в изолированной среде или виртуальной машине, используя анализ временной стабильности через QueryPerformanceCounter и оценку аппаратных характеристик (доступное дисковое пространство, число ядер и т.д.). При несоответствии критериям активируются механизмы уклонения.
- Повышение привилегий: проверяется наличие прав администратора. При их отсутствии злоумышленник запрашивает у пользователя повышение прав — диалог представлен на мандаринском языке.
- Отключение сетевых адаптеров: после получения привилегий вредоносное ПО отключает все активные сетевые адаптеры, чтобы разорвать соединение с серверами AV/EDR-поставщиков и снизить вероятность обнаружения.
- Загрузка и выполнение шелл-кода: загружается и запускается файл шелл-кода с именем 2025.bin по предопределённому URL. Шелл-код сильно запутан и отвечает за последующую загрузку в Base64 закодированного файла output.log, который содержит структурированные данные для продолжения атаки.
- Установление связи с C2: конфигурация kkRAT (IP сервера command and control (C2), порт, сведения о версии) хранится в виде зашифрованных строк. После установления сокетного соединения выполняется снятие отпечатков устройства и передача системной информации на C2.
- Загрузка плагинов и дополнительные действия: плагины выгружаются в зашифрованном виде и расшифровываются в памяти по требованию для выполнения команд, включая манипуляции буфером обмена (перехват/подмена crypto-адресов) и развёртывание инструментов удалённого мониторинга, таких как Sunlogin и GotoHTTP.
Технические особенности kkRAT
- Протокол связи использует пакеты TCP, схож с протоколом Ghost RAT, но добавляет дополнительный уровень шифрования после сжатия данных.
- Передаваемые данные дополнительно шифруются — это усложняет анализ и перехват трафика.
- Плагины хранятся зашифрованными и выполняются в памяти после расшифровки, минимизируя следы на диске.
- Методы шифрования демонстрируют сходство с exception-based методиками, используемыми для сокрытия сетевых коммуникаций.
- Конфигурационные параметры (C2, порт, версия) зашифрованы и извлекаются в ходе выполнения шелл-кода.
Механизмы уклонения и устойчивости
Исследователи отмечают несколько продвинутых техник, применяемых в кампании:
- BYOVD (Bring Your Own Vulnerable Driver) — использование уязвимых драйверов для удаления зарегистрированных обратных вызовов из AV/EDR, что помогает избежать блокировок и обнаружения.
- Тайм-аналитика и проверка оборудования для определения виртуализированных и исследовательских окружений.
- Отключение сетевых адаптеров для прерывания связи с защитными сервисами перед выполнением критических этапов.
- Шифрование конфигураций, каналов и плагинов, а также распаковка/дешифровка в памяти.
Значение для безопасности и рекомендации
Появление kkRAT подчёркивает эволюцию тактик злоумышленников и тренд на целенаправленные кампании против китайскоязычных пользователей. Наблюдаемые приёмы — BYOVD, комплексная телеметрия системы, отключение адаптеров и выполнение зашифрованных компонентов в памяти — усложняют обнаружение традиционными средствами защиты.
Краткие рекомендации для организаций и пользователей:
- Повышенное внимание к источникам установщиков — проверять цифровые подписи и официальные сайты.
- Мониторинг необычных запросов на повышение привилегий и локальной активности, особенно если диалоги появляются на мандаринском языке от непривычных приложений.
- Обновление AV/EDR-решений и настройка мониторинга на поведение драйверов (попытки использования уязвимых драйверов — индикатор BYOVD).
- Сетевой мониторинг на предмет аномального TCP-трафика и попыток загрузки/shell-кода по заранее необычным URL.
- Контроль целостности систем и ограничение прав пользователей для минимизации возможностей эскалации.
Вывод
Кампания, задокументированная Zscaler ThreatLabZ, демонстрирует сочетание проверенных и новых техник — от маскировки под легитимные установщики до сложных методов уклонения через BYOVD и шифрование коммуникаций. Появление kkRAT является очередным примером того, как RAT продолжают эволюционировать и адаптироваться, делая приоритетом цельную инфраструктуру для управления и сокрытия действий в заражённых системах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Zscaler ThreatLabZ: kkRAT — RAT-кампания против говорящих на китайском языке".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.