Технический анализ новых вариантов вредоносного KimJongRAT
Источник: unit42.paloaltonetworks.com
Недавнее исследование сосредоточилось на технических особенностях двух новых вариантов KimJongRAT — широко известного вредоносного ПО типа stealer. Эти версии отличаются методами внедрения и функционалом, однако объединены общей целью — кражей конфиденциальной информации, особенно связанных с криптовалютными кошельками.
Механизмы заражения и распространения
Оба варианта KimJongRAT запускаются через файлы быстрого доступа Windows (LNK), которые выступают в роли триггера для загрузки вредоносного дроппера с помощью сети доставки контента (CDN), управляемой злоумышленниками.
- Вариант с переносимым исполняемым файлом (PE) использует HTTP POST-запросы с методами multipart/form-data или application/x-www-form-urlencoded для извлечения данных.
- PowerShell-вариант загружает необходимые данные посредством HTTP GET-запросов, следуя аналогичной последовательности действий.
Запуск варианта PE инициируется двойным щелчком по LNK-файлу, который загружает HTML-приложение (HTA) с CDN. Данный HTA-файл удаляет встроенные вредоносные компоненты — PDF и user.txt (текстовый файл с URL для дальнейшей загрузки).
Вредоносная нагрузка и скрытые функции
Загрузчик sys.dll выполняет проверку среды выполнения — при обнаружении виртуализации происходит самоуничтожение, что усложняет анализ и защиту систем. Он извлекает основной стелс-компонент KimJongRAT — stealer, ссылки на который берутся из user.txt.
Основной функционал реализован в файле main64.log, который отвечает за:
- сетевые коммуникации с сервером управления (C2);
- сбор данных;
- выполнение команд с сервера C2.
PowerShell-вариант также начинается с файла LNK, загружающего HTA-файл. Из него извлекаются ложный PDF-файл и ZIP-архив, которые содержат:
- PowerShell stealer;
- кейлоггер.
Эти компоненты собирают информацию и отправляют её на сервер C2, при этом поддерживается постоянное соединение для получения дальнейших команд.
Особенности и цели вредоносной программы
Особое внимание уделяется сбору данных браузера, особенно расширений криптовалютных кошельков. Это подчеркивает адаптивность KimJongRAT к актуальным угрозам кибербезопасности, связанным с финансами и цифровыми активами.
Для сокрытия своей деятельности вредоносное ПО применяет сложные техники:
- кодирование конфиденциальных строк и данных;
- использование легитимных CDN-сервисов для маскировки вредоносного контента;
- систематический сбор данных из популярных браузеров — учетных записей, сессионных cookie и прочей информации;
- временное хранение украденных данных локально, их сжатие и последующая отправка на управляющий сервер.
Уровень защиты и рекомендации
Многие современные решения, такие как WildFire и Advanced Threat Prevention, способны обеспечить некоторую защиту от этих угроз. Однако постоянное развитие KimJongRAT свидетельствует о высокой мотивации его создателей расширять функционал и эффективность вредоносного ПО.
«Функциональность KimJongRAT представляет серьезную угрозу для безопасности как личных, так и корпоративных данных, особенно в сфере криптовалют и конфиденциальных учетных данных», — отмечают эксперты в области кибербезопасности.
Данное исследование подчеркивает необходимость неуклонной бдительности и внедрения адаптивных мер защиты для своевременного противодействия эволюционирующим угрозам, создаваемым KimJongRAT и его вариантами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
