KkRAT-Malware

Infosec-Forscher haben eine aktive Malware-Kampagne aufgedeckt, die sich an chinesischsprachige Benutzer richtet und einen bisher undokumentierten Remote-Access-Trojaner namens kkRAT verwendet. Die Kampagne scheint seit Anfang Mai 2025 zu laufen und kombiniert bekannte RAT-Techniken mit modularen Loadern und Täuschung, um der Erkennung zu entgehen und Persistenz zu erreichen.

URSPRÜNGE DER BEDROHUNG UND CODELINE-LINKS

Analysen zeigen, dass kkRAT stark von etablierten Schadprogrammen übernommen wurde: Das Netzwerkprotokoll und einige Codestrukturen ähneln denen von Gh0st RAT (Ghost RAT) und Big Bad Wolf (大灰狼), einem RAT, das früher von chinesischen Cyberkriminellengruppen eingesetzt wurde. Die Autoren haben zusätzlich zur Komprimierung eine zusätzliche Verschlüsselung hinzugefügt und so einen Ghost-ähnlichen Kommunikationskanal mit einem zusätzlichen Verschlüsselungsschritt erstellt.

LIEFERMETHODE – GEFÄLSCHTE INSTALLATIONSPROGRAMME, DIE AUF GITHUB-SEITEN GEHOSTET WERDEN

Akteure hosteten Phishing-Seiten auf GitHub Pages, die sich als beliebte Anwendungen (z. B. DingTalk) ausgaben und drei Trojaner über gefälschte Installationsprogramme verbreiteten. Durch den Missbrauch des Rufs von GitHub erhöhten die Betreiber die Wahrscheinlichkeit, dass Opfer den Installationsprogrammen vertrauten und sie ausführten. Experten weisen darauf hin, dass das GitHub-Konto, über das die Seiten gehostet wurden, nicht mehr verfügbar ist.

INSTALLATEURVERHALTEN

Bei der Ausführung führt das gefälschte Installationsprogramm mehrere Prüfungen durch, um Sandbox-Umgebungen und virtuelle Maschinen zu erkennen und versucht, Sicherheitskontrollen zu umgehen. Es fordert Administratorrechte an. Wenn diese erteilt werden, listet es aktive Netzwerkadapter auf und deaktiviert sie vorübergehend. Diese Funktion stört die Netzwerkprüfungen des Antivirenprogramms und unterbricht den normalen Betrieb des Antivirusprogramms, während es Änderungen vornimmt.

ANTI-AV-TECHNIKEN

Die Malware nutzt eine Bring-Your-Own-Vulnerable-Driver (BYOVD)-Technik, um den Endpunktschutz zu neutralisieren. Dabei wird Code aus dem Open-Source-Projekt RealBlindingEDR wiederverwendet. Sie sucht gezielt nach diesen Schutzpaketen für Verbraucher und Unternehmen und zielt darauf ab:

360 Internet Security Suite

360°-Sicherheit

HeroBravo Systemdiagnose-Suite

Kingsoft Internet Security

QQ电脑管家

Nach dem Beenden relevanter Antivirenprozesse erstellt das Installationsprogramm eine geplante Aufgabe mit SYSTEM-Berechtigungen, die bei jeder Benutzeranmeldung ein Batch-Skript ausführt. So wird sichergestellt, dass die betroffenen Antivirenprozesse bei jeder Anmeldung automatisch beendet werden. Die Malware verändert außerdem Einträge in der Windows-Registrierung, was mit der Deaktivierung von Netzwerkprüfungen vergleichbar ist. Nach Abschluss der Änderungen werden die Netzwerkadapter wieder aktiviert.

NUTZLASTKETTE

Die Hauptaufgabe des Installationsprogramms besteht darin, Shellcode auszuführen, der eine verschleierte sekundäre Shellcode-Datei namens „2025.bin“ von einer fest codierten URL abruft und ausführt. Dieser Shellcode fungiert als Downloader und ruft ein Artefakt namens „output.log“ ab, das dann zwei URLs kontaktiert, um zwei ZIP-Archive herunterzuladen:

• trx38.zip – enthält eine legitime ausführbare Datei sowie eine bösartige DLL, die per DLL-Sideloading gestartet wird.
• p.zip – enthält eine Datei namens longlq.cl, die eine verschlüsselte endgültige Nutzlast enthält.

Die Malware erstellt eine Verknüpfung zur legitimen ausführbaren Datei aus trx38.zip, platziert diese Verknüpfung zur dauerhaften Speicherung im Autostart-Ordner des Benutzers und führt die legitime aus, um die schädliche DLL zu laden. Die DLL entschlüsselt und führt die in longlq.cl enthaltene Nutzlast aus. Die endgültige Nutzlast der Kampagne variiert je nach Kampagneninstanz; eine bestätigte Nutzlast ist kkRAT.

kkRAT-FUNKTIONEN (BEFEHLE, PLUGINS UND VERHALTEN)

kkRAT verbindet sich über einen Socket mit einem C2-Server, erstellt ein Profil des infizierten Hosts und lädt Plugins und Befehle herunter, die eine umfassende Fernsteuerung und Datenerfassung ermöglichen. Zu den beobachteten Fähigkeiten gehören:

• Bildschirmaufnahme und Simulation der Benutzereingaben (Tastatur und Maus)
• Lesen und Ändern des Inhalts der Zwischenablage (wird zum Ersetzen von Kryptowährungsadressen verwendet)
• Aktivieren der Remotedesktopfunktionalität und Starten/Fernschließen von Anwendungen, einschließlich Browsern
• Remote-Befehlsausführung über eine interaktive Shell
• Windows-Verwaltung und Prozessauflistung/-beendigung auf dem Bildschirm
• Aufzählen aktiver Netzwerkverbindungen
• Auflisten installierter Anwendungen und Deinstallieren ausgewählter Software
• Lesen von Autorun-Registrierungswerten und Aufzählen von Autorun-Einträgen
• fungiert als SOCKS5-Proxy, um den Datenverkehr weiterzuleiten und möglicherweise Firewalls oder VPNs zu umgehen

kkRAT enthält außerdem eine Clipper-Funktion, die kopierte Kryptowährungs-Wallet-Adressen ersetzt, sowie Routinen zum Löschen von Daten aus einer Reihe von Browsern und Messaging-Apps (beobachtete Beispiele: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer und Telegram).

ZUSAMMENFASSUNG – WARUM DIE ANGRIFFSKAMPAGNE BEDEUTSAM IST

Diese Kampagne zeichnet sich durch die Kombination aus Social-Engineering-Verbreitung über legitim wirkende GitHub-Seiten, fortschrittlichen Anti-Analyse- und Anti-AV-Techniken (Sandbox-/VM-Erkennung, BYOVD mit RealBlindingEDR-Code), einem mehrstufigen Loader mit DLL-Sideloading und verschlüsselten Payload-Containern sowie einem voll funktionsfähigen RAT (kkRAT) aus, das sowohl Informationsdiebstahl (Clipboard-Hijacking, Bildschirmaufnahme, Datenexfiltration) als auch operative Tools (Remote-Management-Tools, Proxying) unterstützt. Die modulare Architektur ermöglicht den Austausch der finalen Payload, was die Flexibilität für die Betreiber erhöht und die Erkennung und Zuordnung erschwert.