Mayıs 2025’in başlarında, siber güvenlik araştırmacıları, GitHub sayfalarında barındırılan kimlik avı siteleri aracılığıyla Çince konuşan kullanıcıları hedefleyen yeni bir uzaktan erişim Truva atı (sıçan) izlemeye başladı.
Popüler uygulamalar için meşru yükleyiciler olarak maskelenen ilk zip arşivleri, sanal alan ve sanal makine savunmalarını atlamak için tasarlanmış kötü niyetli yürütülebilir ürünler içeriyordu.
Bir kez yürütüldükten sonra, birinci aşama kabuk kodu, QueryPerformanceCounter ve analiz ortamlarını tanımlamak ve şüphelerin ortaya çıkması durumunda sonlandırmak için donanım konfigürasyonlarını (disk alanı ve CPU çekirdekleri) inceler.
.webp)
Bu titiz kaçırma stratejisi, KKRAT’ın otomatik patlama sırasında nadiren uyarıları tetiklemesini sağlar.
Sonraki aşamalarda, KKRAT gelişmiş anti-analiz tekniklerini dağıtır, Windows API işlevlerini tek bayt xor şaşkınlığı yoluyla dinamik olarak çözer ve sonraki kabuk kodlarını basit XOR dönüşümleriyle şifresini çözer.
İkinci aşamada, kötü amaçlı yazılım, AV/EDR iletişimlerini kısıtlamak için ağ bağdaştırıcılarını boşaltır ve devre dışı bırakır, Çin güvenlik satıcılarıyla ilişkili süreçleri numaralandırır ve kayıtlı geri çağrıları çekirdek mod savunmalarından kaldırmak için savunmasız bir sürücü (rtcore64.sys) kullanır.
Zscaler analistleri, KKRAT’ın ağ kontrollerini devre dışı bırakmak için 360 toplam güvenlik için kayıt defteri değerlerini değiştirdiğini ve kullanıcı oturum açması üzerine koruma süreçlerini tekrar tekrar öldürmek için sistem ayrıcalıkları altındaki görevleri devre dışı bıraktığını belirtti.
Üçüncü aşamada, KKRAT, çok şaşkın bir kabuk kodunu alır. 2025.bin Sabit kodlanmış URL’lerden, baz 64 kodlu talimatları kod çözer output.logve kurban sürecinin dosya adına göre indirme URL’lerini seçer.
Çıkarılan arşivler, ofsette altı baytlık bir xor tuşunu kullanarak son yükü (KKRAT’ın kendisi) şifresini çözen kötü amaçlı DLL’lerle birlikte yüklenen meşru yürütülebilir ürünler içerir. 0xD3000.
Zscaler araştırmacıları, Vallereyrat ve Fatalrat dahil olmak üzere birden fazla sıçan varyantını dağıtmak için bu kesintisiz yan yükleme kullanımını belirlediler, ancak yeni keşfedilen KKRAT hem Ghost Rat hem de Big Bad Wolf’dan karışmış özellikler.
Çalışmasında KKRAT, komut ve kontrol sunucusuna bir TCP bağlantısı kurar, ZLIB aracılığıyla verileri sıkıştırır ve ek bir XOR tabanlı şifreleme katmanı uygular.
.webp)
Yakalanan trafiği şifresini çözmek için kullanılan örnek bir Python snippet’i bu iki fazlı süreci gösterir:-
import zlib
def decrypt_packet(data, key):
compressed = bytes(b ^ key for b in data)
return zlib.decompress(compressed)Enfeksiyon mekanizması
Kenar yüklü DLL’nin yürütülmesi üzerine KKRAT, şifrelenmiş yapılandırmasını (C2 IP, Port, Sürüm ve Grup Tanımlayıcısı) okur ve bir oluşturur. REGISTRATIONINFO İşletim sistemi sürümü, CPU frekansı, bellek boyutu, kurulmuş antivirüs imzaları ve mesajlaşma uygulamalarının varlığı gibi ayrıntılı cihaz parmak izleri içeren yapı.
Bu kapsamlı profil, saldırganların yüksek değerli hedeflere öncelik vermesini sağlar. KKRAT benzersiz bir şekilde, kripto para birimi cüzdan adresleri (Bitcoin, Ethereum, Tether) için panoyu denetler ve bunları saldırgan kontrollü adreslerle değiştirir. 0x4D Komuta, işlemleri sessizce ele geçirmek için tasarlanmış bir taktik.
Başlangıç klasörü kısayolları veya kayıt defteri çalıştırma anahtarları aracılığıyla kalıcılık kurulduktan sonra, KKRAT ikamet ediyor, eklentileri yüklemek için daha fazla talimat bekliyor-uzak masaüstü yönetiminden işleme sonucuna kadar aranıyor-ve ağ trafiğini GO tabanlı SOCKS5 vekilleri yoluyla aktarıyor.
Katmanlı şifreleme, sofistike anti-analiz kontrolleri ve finansal hırsızlık yetenekleri sayesinde KKRAT, emtia sıçan araç setlerinde önemli bir evrimi temsil ederek tedarik zinciri tarzı kötü amaçlı kötü amaçlı kötü amaçlı kötü amaçlı kötü amaçlı yazılım dağıtımının altını çiziyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.