KimJongRAT продовжує розвиватися, використовуючи довірені сайти
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Нещодавня кампанія KimJongRAT спостерігалася з використанням GitHub Releases та Google Drive як надійних платформ для розміщення і доставки шкідливого програмного забезпечення. Цей оновлений варіант поєднує функціональність InfoStealer і RAT, покладаючись на техніки Living Off Trusted Sites (LOTS) для зменшення ймовірності виявлення. Він також розвинувся, щоб динамічно отримувати адреси командно-контрольного серверу з Google Drive, зменшуючи потребу в повторній компіляції.
Розслідування
Розслідування переглянуло кампанію травня 2026 року, в якій жертви перенаправлялися через скорочені посилання на ZIP-архіви, розміщені на GitHub, що містять шкідливі файли LNK. Дослідники відобразили ланцюг виконання, включаючи зловживання mshta.exe, VBScript та PowerShell для запуску багатоступеневих корисних навантажень. Аналіз також виявив нову здатність розгортання MeshAgent для довготривалого віддаленого доступу.
Пом’якшення
Організації повинні забезпечити суворий контроль над виконанням файлів LNK та mshta.exe коли вони надходять з ненадійних джерел. Моніторинг підозрілої поведінки PowerShell, включаючи команди, закодовані в Base64, і завантаження з хмарних сервісів, таких як Google Drive і GitHub, є важливим. Обмеження несанкціонованих інструментів віддаленого управління, таких як MeshAgent, може ще більше обмежити вплив компрометації.
Реагування
Якщо ця активність виявлена, негайно ізолюйте уражені хости, щоб запобігти бічному переміщенню і ексфільтрації даних. Проведіть форензіку пам’яті, щоб виявити будь-які активні шкідливі DLL або компоненти PowerShell. Перегляньте журнали доступу до Google Drive і GitHub для виявлення несанкціонованої активності, пов’язаної з визначеною інфраструктурою, і оновіть засоби виявлення кінцевих точок, використовуючи вилучені індикатори компрометації.
“діаграма потоку TD
початковий_доступ[“T1566.001 & T1566.002 – Фішинг: Фішинг з вкладеннями/посиланнями: Перешкодою є скорочені URL-адреси для завантаження tax_edoc.zip з GitHub”]
виконання_користувача[“T1204.002 – Виконання користувача: Шкідливий файл: Жертва відкриває шкідливий файл LNK з вилученого ZIP”]
правила_для_виконання_користувача(“Назва правила: Виконання з ZIP-архіву [7zip] (через створення процесу)
ID правила: 43917da8-4e9a-4cd2-b3f9-dc60e2326534″)
виконання_проксі[“T1218.005 – Виконання системних двійкових проксі: Mshta: Використовує Mshta для завантаження і виконання pdfko.zip з GitHub”]
виконання_скрипту[“T1218.001 & T1216.002 – Виконання системних двійкових/скриптів проксі: Зафіксований VBScript у HTA використовує скомпільований HTML-файл і SyncAppvPublishingServer”]
декоиц_стеганографія[“T1027.003 – Зафіксовані файли або інформація: Стеганографія: Завантажує документ-приманку для відволікання користувача”]
перевірка_оточення{“Перевірка середовища: Визначає, чи ввімкнуто Windows Defender”}
неактивний_захисник[“T1027 & T1218.011 – Зафіксовані файли & Rundll32: Завантажує зашифровані user.txt/sys.log через AES/RC4 і виконує sys.dll”]
активний_захисник[“T1027.006 – Зафіксовані файли або інформація: HTML-контрабанда: Виконує PowerShell 1.ps1 для декодування KimJongRAT”]
стійкість_з_команди_контролю[“T1219 & T1568 & T1578 – Стійкість & команди контролю: Встановлює MeshAgent і використовує динамічну резолюцію через Google Drive для оновлення адрес командно-контрольного серверу”]
початковий_доступ –>|веде до| виконання_користувача
виконання_користувача –>|веде до| виконання_проксі
виконання_користувача -.->|виявлено за допомогою| правила_для_виконання_користувача
виконання_проксі –>|веде до| виконання_скрипту
виконання_скрипту –>|веде до| декоиц_стеганографія
декоиц_стеганографія –>|веде до| перевірка_оточення
перевірка_оточення –>|якщо неактивний| неактивний_захисник
перевірка_оточення –>|якщо активний| активний_захисник
неактивний_захисник –>|веде до| стійкість_з_команди_контролю
активний_захисник –>|веде до| стійкість_з_команди_контролю
“
Потік атаки
Виявлення
Можливе фішинг з використанням Google Drive (через проксі)
Переглянути
Підозріла поведінка CURL (через командний рядок)
Переглянути
Можливе виконання через приховані командні рядки PowerShell (через командний рядок)
Переглянути
Підозрілі рядки PowerShell (через командний рядок)
Переглянути
Підозрілі рядки PowerShell (через PowerShell)
Переглянути
Підозрілі витягнуті файли з архіву (через подію файлу)
Переглянути
Виконання з ZIP-архіву [7zip] (через створення процесу)
Переглянути
Виявлення шкідливого завантаження KimJongRAT і зв’язку з командно-контрольним сервером [Мережеве з’єднання Windows]
Переглянути
Виявлення виконання PowerShell для KimJongRAT [PowerShell в Windows]
Переглянути
Виконання KimJongRAT за допомогою mshta і перевірки командного рядка [Створення процесу в Windows]
Переглянути
Виконання симуляції
Попередня умова: Телеметрія та базове перевірення перед запуском повинні пройти.
Обґрунтування: У цьому розділі докладно описано точне виконання техніки супротивника (TTP), розроблене для ініціювання правила виявлення. Команди та наративи МАЮТЬ безпосередньо відображати ідентифіковані TTP та повинні генерувати точну телеметрію, очікувану за логікою виявлення. Абстрактні чи не пов’язані приклади призведуть до неправильного діагностування.
-
Опис атаки та команди: Супротивнику успішно вдалося закріпитися, і він намагається виконати завантаження KimJongRAT. Щоб уникнути простого виявлення за підписом, шкідлива програма розроблена для запуску скрипта PowerShell у прихованому вікні, обходячи політику виконання та передаючи конкретну назву файлу журналу як параметр для роботи з його зашифрованою конфігурацією. Мета полягає в тому, щоб встановити стійкий, непомітний троян віддаленого доступу (RAT) на машині жертви. Ми виконуватимемо точну схему команд, ідентифіковану в правилі виявлення, щоб перевірити логіку “selection_execute”.
-
Сценарій тесту на регресію:
# Симуляція шаблону виконання KimJongRAT # Це створює фіктивний скрипт для задоволення вимоги '-File' "Write-Output 'Simulating KimJongRAT Payload'" | Out-File -FilePath "1.ps1" -Encoding ascii # Виконання команди, яка ініціює правило виявлення # Зауваження: Це виконується таким чином, що точно імітує аргументи командного рядка. Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden -
Команди очищення:
# Видалити фіктивні файли, створені під час симуляції Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue Remove-Item -Path "1.log" -ErrorAction SilentlyContinue