KimJongRAT Continua a Evoluir Explorando Sites Confiáveis
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma recente campanha KimJongRAT foi observada usando GitHub Releases e Google Drive como plataformas confiáveis para hospedar e entregar malware. Esta variante atualizada combina funcionalidade de InfoStealer e RAT enquanto depende de técnicas de Living Off Trusted Sites (LOTS) para reduzir a chance de detecção. Ela também evoluiu para recuperar endereços de comando-e-controle dinamicamente do Google Drive, reduzindo a necessidade de recompilação repetida.
Investigação
A investigação revisou uma campanha de maio de 2026 em que as vítimas foram redirecionadas por meio de links encurtados para arquivos ZIP hospedados no GitHub contendo arquivos LNK maliciosos. Os pesquisadores mapearam a cadeia de execução, incluindo abuso de mshta.exe, VBScript e PowerShell para lançar cargas úteis em várias etapas. A análise também descobriu uma nova capacidade envolvendo o uso de MeshAgent para acesso remoto de longo prazo.
Mitigação
As organizações devem impor controles rigorosos sobre a execução de arquivos LNK e mshta.exe quando provenientes de locais não confiáveis. Monitorar o comportamento suspeito do PowerShell, incluindo comandos codificados em Base64 e downloads de serviços de nuvem como Google Drive e GitHub, é essencial. Restringir ferramentas de gerenciamento remoto não autorizadas como MeshAgent pode ainda mais limitar o impacto do comprometimento.
Resposta
Se esta atividade for detectada, isole imediatamente os hosts afetados para impedir movimento lateral e exfiltração de dados. Realize forense de memória para identificar quaisquer DLLs maliciosos ou componentes PowerShell ativos. Revise os logs de acesso do Google Drive e do GitHub para atividade incomum ligada à infraestrutura identificada e atualize as detecções de endpoint com os indicadores de comprometimento extraídos.
Fluxo de Ataque
Detecções
Possível Phishing no Google Drive (via proxy)
Ver
Uso Suspeito de CURL (via linha de comando)
Ver
Possibilidade de Execução Através de Linhas de Comando do PowerShell Ocultas (via linha de comando)
Ver
Strings Suspeitas no PowerShell (via linha de comando)
Ver
Strings Suspeitas no PowerShell (via PowerShell)
Ver
Arquivos Extraídos Suspeitos de um Arquivo (via evento de arquivo)
Ver
Execução de Arquivo ZIP [7zip] (via criação de processo)
Ver
Detecção de Download Malicioso e Comunicação C2 KimJongRAT [Conexão de Rede do Windows]
Ver
Detectar Execução PowerShell KimJongRAT [Windows PowerShell]
Ver
Execução KimJongRAT Usando mshta e Verificações de Linha de Comando [Criação de Processo Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação de Pre-flight de Telemetria & Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa do Ataque & Comandos: O adversário ganhou com sucesso um ponto de apoio e está tentando executar a carga útil do KimJongRAT. Para evitar detecção simples baseada em assinatura, o malware é projetado para rodar um script PowerShell em uma janela oculta, contornando a política de execução e passando um nome específico de arquivo de log como um parâmetro para lidar com sua configuração criptografada. O objetivo é estabelecer um trojan de acesso remoto (RAT) persistente e furtivo na máquina da vítima. Executaremos o padrão de comando exato identificado na regra de detecção para validar a lógica “selection_execute”.
-
Script de Teste de Regressão:
# Simulação do padrão de execução KimJongRAT # Isso cria um script fictício para satisfazer o requisito '-File' "Write-Output 'Simulating KimJongRAT Payload'" | Out-File -FilePath "1.ps1" -Encoding ascii # Executando o comando que aciona a regra de detecção # Nota: Isso é executado de uma maneira que imita exatamente os argumentos da linha de comando. Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden -
Comandos de Limpeza:
# Remove os arquivos fictícios criados durante a simulação Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue Remove-Item -Path "1.log" -ErrorAction SilentlyContinue