KimJongRAT entwickelt sich weiter durch Nutzung vertrauenswürdiger Seiten
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine kürzliche KimJongRAT-Kampagne wurde beobachtet, bei der GitHub Releases und Google Drive als vertrauenswürdige Plattformen genutzt werden, um Malware zu hosten und bereitzustellen. Diese aktualisierte Variante kombiniert InfoStealer- und RAT-Funktionalität und stützt sich auf Techniken des Versteckens auf vertrauenswürdigen Websites (LOTS), um die Wahrscheinlichkeit der Entdeckung zu verringern. Sie hat sich auch dahingehend weiterentwickelt, dass sie dynamisch Kommando-und-Kontroll-Adressen von Google Drive abruft, wodurch die Notwendigkeit wiederholter Neukompilierungen reduziert wird.
Untersuchung
Die Untersuchung umfasste eine Kampagne vom Mai 2026, bei der Opfer über verkürzte Links zu auf GitHub gehosteten ZIP-Archiven mit bösartigen LNK-Dateien geleitet wurden. Forscher kartierten die Ausführungskette einschließlich des Missbrauchs von mshta.exe, VBScript und PowerShell, um mehrstufige Payloads zu starten. Die Analyse enthüllte auch eine neue Fähigkeit, bei der MeshAgent für langfristigen Remote-Zugriff eingesetzt wird.
Minderung
Organisationen sollten strenge Kontrollmaßnahmen über die Ausführung von LNK-Dateien durchsetzen und mshta.exe wenn sie aus unzuverlässigen Quellen stammen. Die Überwachung verdächtigen PowerShell-Verhaltens einschließlich Base64-codierter Befehle und Downloads von Cloud-Diensten wie Google Drive und GitHub ist essenziell. Das Einschränken unautorisierter Remote-Management-Tools wie MeshAgent kann die Auswirkungen eines Kompromisses weiter begrenzen.
Antwort
Wenn diese Aktivität entdeckt wird, sollten betroffene Hosts sofort isoliert werden, um seitliche Bewegungen und Datenexfiltration zu verhindern. Führen Sie Gedächtnis-Forensik durch, um aktive bösartige DLLs oder PowerShell-Komponenten zu identifizieren. Überprüfen Sie die Zugriffsprotokolle von Google Drive und GitHub auf ungewöhnliche Aktivitäten im Zusammenhang mit der identifizierten Infrastruktur und aktualisieren Sie die Endpunkt-Erkennungen mit den extrahierten Indikatoren eines Kompromisses.
„flussdiagramm TD
schritt_erster_zugang[„T1566.001 & T1566.002 – Phishing: Spearphishing Anhang/Link: Gelockt über verkürzte URLs zum Herunterladen von tax_edoc.zip von GitHub“]
schritt_benutzerausführung[„T1204.002 – Benutzerausführung: Bösartige Datei: Opfer öffnet eine bösartige LNK-Datei aus dem extrahierten ZIP“]
regel_für_benutzerausführung(„Regelname: Ausführung aus ZIP-Archiv [7zip] (via prozess_erstellung)
Regel-ID: 43917da8-4e9a-4cd2-b3f9-dc60e2326534″)
schritt_proxy_austführung[„T1218.005 – System-Binär-Proxy-Ausführung: Mshta: Verwendet Mshta, um pdfko.zip von GitHub herunterzuladen und auszuführen“]
schritt_skript_austführung[„T1218.001 & T1216.002 – System-Binär/Skript-Proxy-Ausführung: Verschleiertes VBScript in HTA verwendet kompiliertes HTML-Dokument und SyncAppvPublishingServer“]
schritt_köder_steganografie[„T1027.003 – Verschleierte Dateien oder Informationen: Steganografie: Lädt ein Ablenkungsdokument herunter, um den Benutzer zu täuschen“]
schritt_verzweigung{„Umgebungsüberprüfung: Bestimmt, ob Windows Defender aktiv ist“}
schritt_defender_inaktiv[„T1027 & T1218.011 – Verschleierte Dateien & Rundll32: Lädt verschlüsselte Benutzer.txt/sys.log via AES/RC4 herunter und führt sys.dll aus“]
schritt_defender_aktiv[„T1027.006 – Verschleierte Dateien oder Informationen: HTML-Schmuggel: Führt PowerShell 1.ps1 aus, um KimJongRAT zu decodieren“]
schritt_persistenz_c2[„T1219 & T1568 & T1578 – Persistenz & C2: Installiert MeshAgent und verwendet dynamische Auflösung über Google Drive, um C2-Adressen zu aktualisieren“]
schritt_erster_zugang –>|führt zu| schritt_benutzerausführung
schritt_benutzerausführung –>|führt zu| schritt_proxy_austführung
schritt_benutzerausführung -.->|erkannt durch| regel_für_benutzerausführung
schritt_proxy_austführung –>|führt zu| schritt_skript_austführung
schritt_skript_austführung –>|führt zu| schritt_köder_steganografie
schritt_köder_steganografie –>|führt zu| schritt_verzweigung
schritt_verzweigung –>|wenn inaktiv| schritt_defender_inaktiv
schritt_verzweigung –>|wenn aktiv| schritt_defender_aktiv
schritt_defender_inaktiv –>|führt zu| schritt_persistenz_c2
schritt_defender_aktiv –>|führt zu| schritt_persistenz_c2
„
Angriffsablauf
Erkennungen
Möglicher Phishing-Angriff über Google Drive (via Proxy)
Ansehen
Verdächtige Nutzung von CURL (via Befehlszeile)
Ansehen
Möglichkeit der Ausführung durch versteckte PowerShell-Befehlszeilen (via Befehlszeile)
Ansehen
Verdächtige PowerShell-Strings (via Befehlszeile)
Ansehen
Verdächtige PowerShell-Strings (via PowerShell)
Ansehen
Verdächtige extrahierte Dateien aus einem Archiv (via Datei-Ereignis)
Ansehen
Ausführung aus ZIP-Archiv [7zip] (via Prozess-Erstellung)
Ansehen
Erkennung des bösartigen Downloads und C2-Kommunikation von KimJongRAT [Windows-Netzwerkverbindung]
Ansehen
Erkennen der KimJongRAT PowerShell-Ausführung [Windows PowerShell]
Ansehen
KimJongRAT-Ausführung mit mshta und Befehlszeilenprüfungen [Windows Prozess-Erstellung]
Ansehen
Simulation der Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorabprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht relevante Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer hat erfolgreich einen Fuß in die Tür bekommen und versucht, die KimJongRAT-Payload auszuführen. Um die einfache signaturbasierte Erkennung zu umgehen, ist die Malware so konzipiert, dass sie ein PowerShell-Skript in einem versteckten Fenster ausführt, die Ausführungsrichtlinie umgeht und einen bestimmten Log-Dateinamen als Parameter übergibt, um seine verschlüsselte Konfiguration zu handhaben. Das Ziel ist es, einen persistenter, heimlicher Remote-Access-Trojaner (RAT) auf dem Opfergerät zu etablieren. Wir werden das genaue Befehlsmuster ausführen, das in der Erkennungsregel identifiziert wurde, um die „selection_execute“-Logik zu validieren.
-
Regressionstest-Skript:
# Simulation des KimJongRAT-Ausführungsmusters # Dies erstellt ein Dummy-Skript, um die '-File'-Anforderung zu erfüllen "Write-Output 'Simulating KimJongRAT Payload'" | Out-File -FilePath "1.ps1" -Encoding ascii # Ausführen des Befehls, der die Erkennungsregel auslöst # Hinweis: Dies wird so ausgeführt, dass die Befehlszeilenargumente genau nachgeahmt werden. Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden -
Bereinigungskommandos:
# Entfernen der während der Simulation erstellten Dummy-Dateien Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue Remove-Item -Path "1.log" -ErrorAction SilentlyContinue