SOC Prime Bias: Kritisch

30 Jun 2026 06:48 UTC

KimJongRAT entwickelt sich weiter durch Nutzung vertrauenswürdiger Seiten

Author Photo
SOC Prime Team linkedin icon Folgen
KimJongRAT entwickelt sich weiter durch Nutzung vertrauenswürdiger Seiten
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine kürzliche KimJongRAT-Kampagne wurde beobachtet, bei der GitHub Releases und Google Drive als vertrauenswürdige Plattformen genutzt werden, um Malware zu hosten und bereitzustellen. Diese aktualisierte Variante kombiniert InfoStealer- und RAT-Funktionalität und stützt sich auf Techniken des Versteckens auf vertrauenswürdigen Websites (LOTS), um die Wahrscheinlichkeit der Entdeckung zu verringern. Sie hat sich auch dahingehend weiterentwickelt, dass sie dynamisch Kommando-und-Kontroll-Adressen von Google Drive abruft, wodurch die Notwendigkeit wiederholter Neukompilierungen reduziert wird.

Untersuchung

Die Untersuchung umfasste eine Kampagne vom Mai 2026, bei der Opfer über verkürzte Links zu auf GitHub gehosteten ZIP-Archiven mit bösartigen LNK-Dateien geleitet wurden. Forscher kartierten die Ausführungskette einschließlich des Missbrauchs von mshta.exe, VBScript und PowerShell, um mehrstufige Payloads zu starten. Die Analyse enthüllte auch eine neue Fähigkeit, bei der MeshAgent für langfristigen Remote-Zugriff eingesetzt wird.

Minderung

Organisationen sollten strenge Kontrollmaßnahmen über die Ausführung von LNK-Dateien durchsetzen und mshta.exe wenn sie aus unzuverlässigen Quellen stammen. Die Überwachung verdächtigen PowerShell-Verhaltens einschließlich Base64-codierter Befehle und Downloads von Cloud-Diensten wie Google Drive und GitHub ist essenziell. Das Einschränken unautorisierter Remote-Management-Tools wie MeshAgent kann die Auswirkungen eines Kompromisses weiter begrenzen.

Antwort

Wenn diese Aktivität entdeckt wird, sollten betroffene Hosts sofort isoliert werden, um seitliche Bewegungen und Datenexfiltration zu verhindern. Führen Sie Gedächtnis-Forensik durch, um aktive bösartige DLLs oder PowerShell-Komponenten zu identifizieren. Überprüfen Sie die Zugriffsprotokolle von Google Drive und GitHub auf ungewöhnliche Aktivitäten im Zusammenhang mit der identifizierten Infrastruktur und aktualisieren Sie die Endpunkt-Erkennungen mit den extrahierten Indikatoren eines Kompromisses.

„flussdiagramm TD schritt_erster_zugang[„T1566.001 & T1566.002 – Phishing: Spearphishing Anhang/Link: Gelockt über verkürzte URLs zum Herunterladen von tax_edoc.zip von GitHub“] schritt_benutzerausführung[„T1204.002 – Benutzerausführung: Bösartige Datei: Opfer öffnet eine bösartige LNK-Datei aus dem extrahierten ZIP“] regel_für_benutzerausführung(„Regelname: Ausführung aus ZIP-Archiv [7zip] (via prozess_erstellung)
Regel-ID: 43917da8-4e9a-4cd2-b3f9-dc60e2326534″) schritt_proxy_austführung[„T1218.005 – System-Binär-Proxy-Ausführung: Mshta: Verwendet Mshta, um pdfko.zip von GitHub herunterzuladen und auszuführen“] schritt_skript_austführung[„T1218.001 & T1216.002 – System-Binär/Skript-Proxy-Ausführung: Verschleiertes VBScript in HTA verwendet kompiliertes HTML-Dokument und SyncAppvPublishingServer“] schritt_köder_steganografie[„T1027.003 – Verschleierte Dateien oder Informationen: Steganografie: Lädt ein Ablenkungsdokument herunter, um den Benutzer zu täuschen“] schritt_verzweigung{„Umgebungsüberprüfung: Bestimmt, ob Windows Defender aktiv ist“} schritt_defender_inaktiv[„T1027 & T1218.011 – Verschleierte Dateien & Rundll32: Lädt verschlüsselte Benutzer.txt/sys.log via AES/RC4 herunter und führt sys.dll aus“] schritt_defender_aktiv[„T1027.006 – Verschleierte Dateien oder Informationen: HTML-Schmuggel: Führt PowerShell 1.ps1 aus, um KimJongRAT zu decodieren“] schritt_persistenz_c2[„T1219 & T1568 & T1578 – Persistenz & C2: Installiert MeshAgent und verwendet dynamische Auflösung über Google Drive, um C2-Adressen zu aktualisieren“] schritt_erster_zugang –>|führt zu| schritt_benutzerausführung schritt_benutzerausführung –>|führt zu| schritt_proxy_austführung schritt_benutzerausführung -.->|erkannt durch| regel_für_benutzerausführung schritt_proxy_austführung –>|führt zu| schritt_skript_austführung schritt_skript_austführung –>|führt zu| schritt_köder_steganografie schritt_köder_steganografie –>|führt zu| schritt_verzweigung schritt_verzweigung –>|wenn inaktiv| schritt_defender_inaktiv schritt_verzweigung –>|wenn aktiv| schritt_defender_aktiv schritt_defender_inaktiv –>|führt zu| schritt_persistenz_c2 schritt_defender_aktiv –>|führt zu| schritt_persistenz_c2 „

Angriffsablauf

Simulation der Ausführung

Voraussetzung: Die Telemetrie- & Baseline-Vorabprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht relevante Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle: Der Angreifer hat erfolgreich einen Fuß in die Tür bekommen und versucht, die KimJongRAT-Payload auszuführen. Um die einfache signaturbasierte Erkennung zu umgehen, ist die Malware so konzipiert, dass sie ein PowerShell-Skript in einem versteckten Fenster ausführt, die Ausführungsrichtlinie umgeht und einen bestimmten Log-Dateinamen als Parameter übergibt, um seine verschlüsselte Konfiguration zu handhaben. Das Ziel ist es, einen persistenter, heimlicher Remote-Access-Trojaner (RAT) auf dem Opfergerät zu etablieren. Wir werden das genaue Befehlsmuster ausführen, das in der Erkennungsregel identifiziert wurde, um die „selection_execute“-Logik zu validieren.

  • Regressionstest-Skript:

    # Simulation des KimJongRAT-Ausführungsmusters
    # Dies erstellt ein Dummy-Skript, um die '-File'-Anforderung zu erfüllen
    "Write-Output 'Simulating KimJongRAT Payload'" | Out-File -FilePath "1.ps1" -Encoding ascii
    
    # Ausführen des Befehls, der die Erkennungsregel auslöst
    # Hinweis: Dies wird so ausgeführt, dass die Befehlszeilenargumente genau nachgeahmt werden.
    Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden
  • Bereinigungskommandos:

    # Entfernen der während der Simulation erstellten Dummy-Dateien
    Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue
    Remove-Item -Path "1.log" -ErrorAction SilentlyContinue