KimJongRAT Continua ad Evolversi Attraverso l’Utilizzo di Siti Autorevoli
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
È stata osservata una recente campagna KimJongRAT che utilizza GitHub Releases e Google Drive come piattaforme affidabili per ospitare e distribuire malware. Questa variante aggiornata combina funzionalità di InfoStealer e RAT facendo affidamento su tecniche di Living Off Trusted Sites (LOTS) per ridurre la possibilità di rilevamento. Si è anche evoluta per recuperare dinamicamente indirizzi di comando e controllo da Google Drive, riducendo la necessità di ripetute ricompilazioni.
Indagine
L’indagine ha esaminato una campagna di maggio 2026 in cui le vittime sono state reindirizzate tramite link abbreviati ad archivi ZIP ospitati su GitHub contenenti file LNK dannosi. I ricercatori hanno mappato la catena di esecuzione, inclusi gli abusi di mshta.exe, VBScript e PowerShell per avviare payload a più stadi. L’analisi ha anche scoperto una nuova capacità che coinvolge il deployment di MeshAgent per l’accesso remoto a lungo termine.
Mitigazione
Le organizzazioni dovrebbero applicare controlli severi sull’esecuzione dei file LNK e mshta.exe quando provengono da posizioni non affidabili. È essenziale monitorare il comportamento sospetto di PowerShell, inclusi comandi codificati in Base64 e download da servizi cloud come Google Drive e GitHub. Limitare strumenti non autorizzati di gestione remota come MeshAgent può ulteriormente limitare l’impatto di una compromissione.
Risposta
Se viene rilevata questa attività, isolare immediatamente gli host interessati per prevenire un movimento laterale e l’esfiltrazione dei dati. Condurre analisi forense della memoria per identificare eventuali DLL o componenti PowerShell dannosi attivi. Esaminare i log di accesso di Google Drive e GitHub per attività insolita legata all’infrastruttura identificata e aggiornare le rilevazioni degli endpoint con gli indicatori di compromissione estratti.
"flowchart TD step_initial_access["T1566.001 & T1566.002 u2013 Phishing: Allegato/Spearphishing Link: Attratto tramite URL abbreviati per scaricare tax_edoc.zip da GitHub"] step_user_execution["T1204.002 u2013 Esecuzione Utente: File Maligno: La vittima apre un file LNK dannoso dall’archivio ZIP estratto"] rules_for_user_execution("<b>Nome Regola</b>: Esecuzione da Archivio ZIP [7zip] (via process_creation)<br/><b>ID Regola</b>: 43917da8-4e9a-4cd2-b3f9-dc60e2326534") step_proxy_execution["T1218.005 u2013 Esecuzione Proxy di Sistema Binario: Mshta: Usa Mshta per scaricare ed eseguire pdfko.zip da GitHub"] step_script_execution["T1218.001 & T1216.002 u2013 Esecuzione Proxy di Sistema Binario/Script: VBScript offuscato in HTA utilizza File HTML compilato e SyncAppvPublishingServer"] step_decoy_steganography["T1027.003 u2013 File o Informazioni Offuscati: Steganografia: Scarica un documento esca per distrarre l’utente"] step_branching{"Verifica Ambiente: Determina se Windows Defender è attivo"} step_defender_inactive["T1027 & T1218.011 u2013 File Offuscati & Rundll32: Scarica user.txt/sys.log criptati via AES/RC4 ed esegue sys.dll"] step_defender_active["T1027.006 u2013 File o Informazioni Offuscati: HTML Smuggling: Esegue PowerShell 1.ps1 per decodificare KimJongRAT"] step_persistence_c2["T1219 & T1568 & T1578 u2013 Persistenza & C2: Installa MeshAgent e utilizza la Risoluzione Dinamica tramite Google Drive per aggiornare gli indirizzi C2"] step_initial_access –>|conduce_a| step_user_execution step_user_execution –>|conduce_a| step_proxy_execution step_user_execution -.->|rilevato_da| rules_for_user_execution step_proxy_execution –>|conduce_a| step_script_execution step_script_execution –>|conduce_a| step_decoy_steganography step_decoy_steganography –>|conduce_a| step_branching step_branching –>|se_inattivo| step_defender_inactive step_branching –>|se_attivo| step_defender_active step_defender_inactive –>|conduce_a| step_persistence_c2 step_defender_active –>|conduce_a| step_persistence_c2 "
Flusso di Attacco
Rilevazioni
Possibile Phishing di Google Drive (via proxy)
Visualizza
Uso Sospetto di CURL (via cmdline)
Visualizza
Possibilità di Esecuzione Tramite Linee di Comando PowerShell Nascoste (via cmdline)
Visualizza
Stringhe PowerShell Sospette (via cmdline)
Visualizza
Stringhe PowerShell Sospette (via powershell)
Visualizza
File Estratti Sospetti da un Archivio (via file_event)
Visualizza
Esecuzione da Archivio ZIP [7zip] (via process_creation)
Visualizza
Rilevazione del Download Maligno di KimJongRAT e Comunicazione C2 [Connessione di Rete di Windows]
Visualizza
Rileva Esecuzione di PowerShell di KimJongRAT [Windows PowerShell]
Visualizza
Esecuzione di KimJongRAT Usando mshta e Verifiche della Linea di Comando [Creazione di Processo di Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il controllo preliminare di Telemetria & Baseline deve essere superato.
Ragione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrativa dell’Attacco & Comandi: L’avversario ha stabilito con successo un punto d’appoggio e sta tentando di eseguire il payload KimJongRAT. Per eludere il rilevamento basato su firma semplice, il malware è progettato per eseguire uno script PowerShell in una finestra nascosta, bypassando la politica di esecuzione e passando un nome di file log specifico come parametro per gestire la sua configurazione criptata. L’obiettivo è quello di stabilire un trojan di accesso remoto (RAT) persistente e invisibile sulla macchina della vittima. Eseguiremo il modello di comando esatto identificato nella regola di rilevamento per validare la logica “selection_execute”.
-
Script di Test di Regressione:
# Simulazione del modello di esecuzione di KimJongRAT # Questo crea uno script dummy per soddisfare il requisito '-File' "Write-Output 'Simulating KimJongRAT Payload'" | Out-File -FilePath "1.ps1" -Encoding ascii # Esecuzione del comando che attiva la regola di rilevamento # Nota: Questo è eseguito in modo da imitare esattamente gli argomenti della linea di comando. Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden -
Comandi di Pulizia:
# Rimuovere i file dummy creati durante la simulazione Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue Remove-Item -Path "1.log" -ErrorAction SilentlyContinue