SOC Prime Bias: Crítico

30 Jun 2026 06:48 UTC

KimJongRAT Continua a Evoluir Explorando Sites Confiáveis

Author Photo
SOC Prime Team linkedin icon Seguir
KimJongRAT Continua a Evoluir Explorando Sites Confiáveis
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma recente campanha KimJongRAT foi observada usando GitHub Releases e Google Drive como plataformas confiáveis para hospedar e entregar malware. Esta variante atualizada combina funcionalidade de InfoStealer e RAT enquanto depende de técnicas de Living Off Trusted Sites (LOTS) para reduzir a chance de detecção. Ela também evoluiu para recuperar endereços de comando-e-controle dinamicamente do Google Drive, reduzindo a necessidade de recompilação repetida.

Investigação

A investigação revisou uma campanha de maio de 2026 em que as vítimas foram redirecionadas por meio de links encurtados para arquivos ZIP hospedados no GitHub contendo arquivos LNK maliciosos. Os pesquisadores mapearam a cadeia de execução, incluindo abuso de mshta.exe, VBScript e PowerShell para lançar cargas úteis em várias etapas. A análise também descobriu uma nova capacidade envolvendo o uso de MeshAgent para acesso remoto de longo prazo.

Mitigação

As organizações devem impor controles rigorosos sobre a execução de arquivos LNK e mshta.exe quando provenientes de locais não confiáveis. Monitorar o comportamento suspeito do PowerShell, incluindo comandos codificados em Base64 e downloads de serviços de nuvem como Google Drive e GitHub, é essencial. Restringir ferramentas de gerenciamento remoto não autorizadas como MeshAgent pode ainda mais limitar o impacto do comprometimento.

Resposta

Se esta atividade for detectada, isole imediatamente os hosts afetados para impedir movimento lateral e exfiltração de dados. Realize forense de memória para identificar quaisquer DLLs maliciosos ou componentes PowerShell ativos. Revise os logs de acesso do Google Drive e do GitHub para atividade incomum ligada à infraestrutura identificada e atualize as detecções de endpoint com os indicadores de comprometimento extraídos.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Pre-flight de Telemetria & Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa do Ataque & Comandos: O adversário ganhou com sucesso um ponto de apoio e está tentando executar a carga útil do KimJongRAT. Para evitar detecção simples baseada em assinatura, o malware é projetado para rodar um script PowerShell em uma janela oculta, contornando a política de execução e passando um nome específico de arquivo de log como um parâmetro para lidar com sua configuração criptografada. O objetivo é estabelecer um trojan de acesso remoto (RAT) persistente e furtivo na máquina da vítima. Executaremos o padrão de comando exato identificado na regra de detecção para validar a lógica “selection_execute”.

  • Script de Teste de Regressão:

    # Simulação do padrão de execução KimJongRAT
    # Isso cria um script fictício para satisfazer o requisito '-File'
    "Write-Output 'Simulating KimJongRAT Payload'" | Out-File -FilePath "1.ps1" -Encoding ascii
    
    # Executando o comando que aciona a regra de detecção
    # Nota: Isso é executado de uma maneira que imita exatamente os argumentos da linha de comando.
    Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden
  • Comandos de Limpeza:

    # Remove os arquivos fictícios criados durante a simulação
    Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue
    Remove-Item -Path "1.log" -ErrorAction SilentlyContinue